写在前面 工欲善其事必先利其器!熟悉掌握一种神器对以后的工作必然是有帮助的,下面我将从简单的描述Wireshark的使用和自己思考去写,若有错误或不足还请批评指正。 1.Wireshark介绍 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。 class="ztext-empty-paragraph">
 class="ztext-empty-paragraph">
2.Wireshark使用 首先从官网根据自己的环境下载对应的软件版本,下一步安装即可,建议不要安装在C盘。 接下来打开Wireshark,可以看到设别的网卡信息,选择需要抓包的网卡双击即可。或者按Ctrl+K,勾选需要抓包的网卡,一般情况都会选择WLAN点击Start开始抓包。从流量波形图可以看到弯曲起伏则表示有流量,直线则没有流量。 class="ztext-empty-paragraph">
 class="ztext-empty-paragraph">
3.Wireshark语法 1、过滤MAC地址 eth.addr == 00:71:cc:9a:28:93 //过滤目标或源地址是00:71:cc:9a:28:93的数据包 eth.src == 00:71:cc:9a:28:93 //过滤源地址是00:71:cc:9a:28:93的数据包 eth.dst == 00:71:cc:9a:28:93 //过滤目标地址是00:71:cc:9a:28:93的数据包 2、过滤VLAN vlan.id == 1024 //过滤VLANID为1024的数据包 vlan.id_name == yunzui //过滤VLAN名为1024的数据包 3、IP过滤 //源IP地址过滤 ip.src == 8.8.8.8 ip.src eq 8.8.8.8 //目标IP地址过滤 ip.dst == 8.8.8.8 ip.dst eq 8.8.8.8 //ip地址过滤。不论源还是目标 ip.addr == 8.8.8.8 ip.addr eq 8.8.8.8 4、端口过滤 tcp.port == 8888 udp.port eq 8888 tcp.dstport == 8888 // 只显tcp协议的目标端口8888 tcp.srcport == 8888 // 只显tcp协议的来源端口8888 //过滤端口范围 tcp.port >= 1 and tcp.port <= 8888 5、常用协议过滤 tcp //只显示TCP协议的数据流 udp //只显示UDP协议的数据流 arp //只显示ARP协议的数据流 icmp //只显示ICMP协议的数据流 http //只显示HTTP协议的数据流 smtp //只显示SMTP协议的数据流 ftp //只显示FTP协议的数据流 dns //只显示DNS协议的数据流 …… 排除HTTP包,如!http 或 not http 6、http模式过滤 http.request.method == “GET” http.request.method == “POST” http.request.uri == “/img/logo-edu.gif” http contains “GET” http contains “HTTP/1.” // GET数据包 http.request.method == “GET” && http contains “Host: ” http.request.method == “GET” && http contains “User-Agent: ” // POST数据包 http.request.method == “POST” && http contains “Host: ” http.request.method == “POST” && http contains “User-Agent: ” // HTTP请求数据包 http.request.method == "POST" && http contains "Java/1.8.0_121" // HTTP响应数据包 http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ” 7、运算符 less than:lt less and equal: le equal:eq great then:gt great and equal:ge not equal:ne 8、连接符 and,or 如tcp.port == 8888 and ip.addr = 88.88.88.88 4. Wireshark功能 1、Wireshark数据包的结构 第1行:数据包整体概述,内容比较多 第2行:数据链路层详细信息,主要为mac地址 第3行:网络层详细信息,主要的是双方的IP地址 第4行:传输层的详细信息,主要的是双方的端口号 第5行:TCP或UDP是传输的DATA,DNS这是域名的相关信息 class="ztext-empty-paragraph">
 class="ztext-empty-paragraph">
2、wireshark着色规则 在菜单栏中点开视图中的着色规则就可以看到 class="ztext-empty-paragraph">
 class="ztext-empty-paragraph">
3、数据包的统计分析 协议分级统计功能可以查看所选包协议的分布情况,可以分析者帮助识别可疑协议,和不正常的网络应用程序,提高分析效率。 在菜单栏中点开统计中的协议分级(P)就可以看到 class="ztext-empty-paragraph">
 class="ztext-empty-paragraph">
在Endpoints窗口中,可以通过排序Bytes和Tx Bytes来判断占用带宽最大的主机 在菜单栏中点开统计中的Endpoints就可以看到 class="ztext-empty-paragraph">
 class="ztext-empty-paragraph">
Conversions窗口可以看到两个主机之间发送/接收数据包的数量、字节大小以及数据的流向情况,也可以通过排序来判断占用最大带宽的主机。 在菜单栏中点开统计中的Conversions就可以看到 class="ztext-empty-paragraph">
 class="ztext-empty-paragraph">
4、追踪数据流 当分析到某条数据包对于的数据流查看。可以选中数据,右键选择追踪流。里面就会有tcp流、udp流、ssl流、http流。数据包属于哪种流就选择对应的流。 class="ztext-empty-paragraph">
 class="ztext-empty-paragraph">
5.实战分析 攻防世界中级数据分析题 题目:黑客通过wireshark抓到管理员登陆网站的一段流量包(管理员的密码即是答案)。 flag提交形式为flag{XXXX} class="ztext-empty-paragraph">
 class="ztext-empty-paragraph">
下载题目数据包,根据题目要求对数据包进行分析 提取题目keyword :网站(HTTP) 登陆(POST) 打开数据包过滤对应数据流 http.request.method == "POST" class="ztext-empty-paragraph">
 class="ztext-empty-paragraph">
追踪HTTP数据流,获取管理员密码 ffb7567a1d4f4abdffdb54e022f8facd class="ztext-empty-paragraph">
 class="ztext-empty-paragraph">
6.总结思考 伴随着网络安全攻防对抗愈演愈烈,全流量分析显得尤为重要,在海量的大数据中提取关键信息,不仅是攻击者的思路更是分析人员的必修课。 雁过留痕!Wireshark从TCP/IP协议全过程捕获数据流,是一款非常不错的分析工具,这里只介绍了很少的功能,有兴趣的朋友可以继续深究!
|