Mac 抓包工具wireshark使用

共四部分

　　1.wireshark簡介

　　2.wireshark mac版安裝

　　3.wireshark 抓取普通http

　　4.高級應用

 

1.wireshark 簡介(百度百科)

　　Wireshark（前稱Ethereal）是一個網絡封包分析軟件。網絡封包分析軟件的功能是擷取網絡封包，並儘量顯示出最爲詳細的網絡封包資料。Wireshark使用WinPCAP做爲接口，直接與網卡進行數據報文交換。

　　網絡封包分析軟件的功能可想像成 "電工技師使用電錶來量測電流、電壓、電阻" 的工做 - 只是將場景移植到網絡上，並將電線替換成網絡線。在過去，網絡封包分析軟件是很是昂貴的，或是專門屬於盈利用的軟件。Ethereal的出現改變了這一切。在GNUGPL通用許可證的保障範圍底下，使用者能夠以避免費的代價取得軟件與其源代碼，並擁有針對其源代碼修改及客製化的權利。Ethereal是目前全世界最普遍的網絡封包分析軟件之一。

　　網絡管理員使用Wireshark來檢測網絡問題，網絡安全工程師使用Wireshark來檢查資訊安全相關問題，開發者使用Wireshark來爲新的通信協定除錯，普通使用者使用Wireshark來學習網絡協定的相關知識。固然，有的人也會「居心叵測」的用它來尋找一些敏感信息……

　　Wireshark不是入侵偵測系統（Intrusion Detection System,IDS）。對於網絡上的異常流量行爲，Wireshark不會產生警示或是任何提示。然而，仔細分析Wireshark擷取的封包可以幫助使用者對於網絡行爲有更清楚的瞭解。Wireshark不會對網絡封包產生內容的修改，它只會反映出目前流通的封包資訊。 Wireshark自己也不會送出封包至網絡上。

 

2.wireshark mac版安裝

　　我用的mac系統是10.12,網絡上有人說須要安裝一些X11或者是XQuartz的,我本身嘗試下載安裝並不須要安裝其餘組件,下載網址: http://www.pc6.com/mac/112232.html

　　一直點下一步就行了,安裝後打開:

 

3.wireshark 抓取普通http報文

　　點擊左上角的鯊魚頭就能夠開始捕獲包了,界面包含了三部份內容:

第一塊：分組的列表項，不少，有序號、時間、源地址、目的地址、協議、長度等

第二塊：具體的某個分組的詳細信息，具體對應網絡分層，每一行信息本身看，截個圖

第三塊：以二進制顯示，能夠不用管

 

能夠看到如今已經有一些密密麻麻的數據流記錄了,不過都不是咱們須要的, 先作一個post訪問再過濾

sts-MacBook-Pro:~ garfield$ curl -l -H "Content-type: application/json" -X POST -d '{"header": {"requestTime": "2018100910320000","requestSeq": "e379853d-d93e-4249-b9be-8a272b","appId": "bc1f4a2a995b47db9018031801984857"},"content": {"duration": "300","idCard": "350123199502150000sfsdafwjdhsjofwofnsdfnjdwfnew1561651dsfsdnklndsjfn1165165165fdsfhweufwehfjdsnfiefenf350123199502150000sfsdafwjdhsjofwofnsdfnjdwfnew1561651dsfsdnklndsjfn1165165165fdsfhweufwehfjdsnfiefenf350123199502150000","expressParam": "expressParamexpressParaexpres","name": "name","isPic": "0","availableTimes": "5"}}{"header": {"requestTime": "2018100910320000","requestSeq": "e379853d-d93e-4249-b9be-8a272b","appId": "bc1f4a2a995b47db9018031801984857"},"content": {"duration": "300","idCard": "350123199502150000sfsdafwjdhsjofwofnsdfnjdwfnew1561651dsfsdnklndsjfn1165165165fdsfhweufwehfjdsnfiefenf350123199502150000sfsdafwjdhsjofwofnsdfnjdwfnew1561651dsfsdnklndsjfn1165165165fdsfhweufwehfjdsnfiefenf350123199502150000","expressParam": "expressParamexpressParaexpres","name": "name","isPic": "0","availableTimes": "5"}}' http://10.1.4.34:8080/post

作完後在過濾條件中加入條件,意思是目標網址爲10.1.4.34:

ip.dst == 10.1.4.34

意思是,目標ip地址爲10.1.4.34,獲得:

點開協議爲http的訪問,從訪問的具體信息中能夠看到發送到10.1.4.34

同理,用ip.src == 10.1.4.34 可以看到對方返回的對象.

過濾條件有不少種,比較簡單的是輸入"ip."以後會提示的當前頁面存在的字段,如"ip.addr,ip.proto等",具體擴展能夠點開右邊的"Exprission"按鈕,會展現不少字段

只不過大多字段看不懂,且平時用不到,之後再探究吧

 

4.高級應用

1.wireshark能夠對包,流量,時間進行分析,具體在頭頂的statistic中:

能夠獲得多種數據分析圖

I/O graph是流量圖,裏面還能夠進行過濾,計算等:

最後一行我自定義添加的圖,能夠自定義顏色和風格等.

其餘圖表有全流程時間表(round-trip graphs),包長度(package length)分析等,感受不實用,之後再記

2.數據包跟蹤

提取出兩個應用之間的通訊,好比我用手機QQ和電腦QQ通訊,獲得的數據流右鍵跟蹤:

獲得完整報文,雙色標識來往包數據:

能夠保存查看包內容,這裏由於是QQ包,被處理後沒法識別而已,不過能夠看見我QQ號~~~

待續...