wireshark簡單認識使用

    wireshark：Beyond Compare是一個網絡封包分析軟體。網絡封包分析軟體的功能是撷取網絡封包，并盡可能顯示出最為詳細的網絡封包資料。Wireshark使用WinPCAP作為接口，直接與網卡進行資料封包交換，是目前全世界最廣泛的網絡封包分析軟體。

工具/原料

• wireshark

方法/步驟

1. 首先認識一下wireshark界面各個功能如下圖。Packet List面闆主要顯示抓取的資料包；Packet Details面闆展示資料包的詳細資訊，分層次顯示一個資料包中的内容；Packet Bytes面闆以十六進制和ASCII碼的形式顯示資料包的内容，及資料包最原始的樣子。我們在分析資料包的過程中主要關注Packet List以及Packet Details。

   

2. 抓取了通路網站是的資料包這裡面主要展示了以下五種協定的資訊：

   Frame：實體層資料幀的情況。

   Ethernet II：資料鍊路層以太網幀頭部的資訊。

   Internet Protocol Version 4：網絡層IP包的頭部資訊。

   Transmission Control Protocol：傳輸層的資料段頭部資訊，這裡顯示的是

   TCP協定。

   Hypertext Transfer Protocol：應用層資訊，這裡顯示的是HTTP協定。

   

3. 篩選器的簡單用法，根據剛才抓取的資料包，篩選器主要是在處理大量的資料時使用，我們篩選http資料包這是關于篩選器的最簡單的一種用法。篩選器也支援與 （and）、或（or）、非（not）等邏輯運算符，可以加強篩選的效率。

   

4. 在篩選的過程中我們也可以使用邏輯運算符，例如!tcp查找除了tcp以外的資料包。

   

5. 除了邏輯運算符還可以使用比較操作符，比如等于（==）、不等于 （!=）、大于（>）、小于（<）、大于等于（>=）以及小于等于（<=）等。比如我們現在隻想檢視長度小于等于150位元組的資料包。

   

6. 對網絡協定了解比較深我們也可以通過比對協定來篩選，比如我們想捕獲帶有(PSH,ACK)标志的TCP資料 包。那麼就可以檢測TCP協定中偏移為13的标志位的情況。盡管這個标志位隻有1 個位元組，但是這個位元組中的每一個比特位都是一個标志。

   

7. 經過對wireshark操作界面、基本用法的認識，在主機電腦上面運作http登入界面，使用使用者名密碼登入，http屬于明文傳輸是以在wireshark中可以抓到使用者名與密碼；在ARP欺騙轉發過程中我們可以通過wireshark來分析抓到的資料包。

   

   END

注意事項

• 我們在分析資料包的過程需要對資料包結構非常了解，才能事半功倍。