Wireshark簡介:安全
Wireshark是一款最流行和強大的開源數據包抓包與分析工具,沒有之一。在SecTools安全社區裏頗受歡迎,曾一度超越Metasploit、Nessus、Aircrack-ng等強悍工具。該軟件在網絡安全與取證分析中起到了很大做用,做爲一款網絡數據嗅探與協議分析器,已經成爲網絡運行管理、網絡故障診斷、網絡應用開發與調試的必用工具。網絡
上面是wireshark的主窗口,分三大主塊:Packlist List(數據包列表)、Packet Details(數據包細節)、Packet Bytes(數據包字節)。工具
首選項設置學習
在wireshark的首選項裏有不少設置,以方便定製,可在菜單欄的Edit裏的Preferences裏設置,其界面以下:ui
包括這幾個部分:User Intereface(用戶接口)、Capture(捕獲)、Name Resolutions(名字解析)、Statistics(統計)、Protocols(協議)spa
查找數據包:調試
按ctrl+N打開查找對話框blog
能夠看到有三種查詢條件:接口
按ctrl+N向下查找,按ctrl+B向前查找。其實wireshark的使用說明已經作的很是很是的人性化的,它的全部設置窗口都有在線的幫助說明,上面是左下角的「Help」就是。並且是英文的,那麼問題來了,你是到底啥不懂呢?網絡安全
標記數據包:
在Packet List中選中一個數據包,右鍵選擇Mark Packet就能夠將該數據包標記,標記後該數據包會高亮顯示。快捷鍵是選中一個數據包,按ctrl+M,取消標記一樣是ctrl+M,
在多個被標記的數據之間切換可用shift+ctrl+N、shift+ctrl+B。
捕獲設置:
啓動Wireshark後,在左邊的網絡接口裏的Capture Optiion能夠用來設置各類數據包抓取規則。
查看端點與會話:
在wireshark的Endpoints窗口裏(Statistics -> Endpoints)已經統計出了每個端點的地址、傳輸發送數據包的數量u以及字節數。這裏一個頗有用的地方是:單擊一個數據包右鍵,在相關選項裏有該數據包的過濾語法規則,很值得學習,對於過濾規則學習頗有用!!
網絡會話是指地址A與地址B之間的會話,一樣地,能夠右鍵單擊一個會話,用以建立一些有用的過濾規則。能夠在Statistics -> Conversations裏查看。
協議數據的分層統計:
有時須要分析捕獲數據包中各協議所佔的比例,以分析網絡流量是否正常。此時能夠選擇Statistics->Protocol Hierarchy。
跟蹤TCP數據流:
burpsuite的功能類似,Wireshark也有TCP流量重組功能。右鍵單擊一個數據包選擇Follw TCP/UDP Stream便可重組出數據流交互過程。其中紅色表示從源地址發往目標地址,藍色反之。
wireshark的入門就簡單到這裏了。我只是簡單的介紹了一下,其功能十分強大,是數據包分析的一大利器!!要想深刻學習,還須要使用者去探索嘗試,特別是在實戰中的應用,有不少的樂趣哦。後期將繼續講解wireshark高級過濾的實戰應用,也歡迎各位感興趣的同窗一塊兒交流技術:)