对于大多数刚开始接触的人来说wireshark对于用户来说,看到wireshark一开始就能截获所有数据包通常是无敌的,但面对大量的数据包,我不得不问我有什么用,或者如何找到我想要的数据包(例如telnet登录过程中的数据包完全丢失。
首先,界面中有很多窗口。你无法理解它的功能和区别;第二个是捕获并显示过滤器的表达式。没有法律。百度每次都要找很长时间。事实上,wireshark的界面还是比较清晰的,显示过滤表并不困难。让我们来解决wireshark今天使用的两个问题。
官方网站地址:https://www.wireshark。组织/
官网下载地址:https://www.wireshark。org/#下载
关于安装我不会说太多。就像普通windows一样,下一步就是安装它。此外空灵的为什么在2006年更名为wireshark?见:https://www.linux.com/news/ethereal-changes-name-wireshark
1.2拦截本地环回数据此外,请注意,本地机器访问的环回数据不会通过网卡。例如,我们在本地机器上访问构建在本地机器上的web服务,但我们经常在本地机器上进行构建服务的操作,并且经常需要拦截本地环回数据包进行分析,因此我们应该阻止环回数据包。操作如下。
首先,以管理员身份运行CMD(普通用户没有路由表的操作权限,会提示“请求的操作需要升级”)
然后,使用ipconfig要查看本机IP和网关:
ipconfig
然后,使用以下命令添加路由,并指定环回数据也应首先转发到网关(将<;your_ip>;和<;gateway_ip>;替换为在上一步中获得的本地ip和网关):
路线添加<;你的uIP>;掩码255.255.255.255<;网关uIP>;指标1
最后,请看路由表是否已成功添加中间路线:
路线打印
通过网关返回环回数据将增加网卡上的压力。您可以使用以下命令删除路由(将<;your_ip>;替换为先前获得的本地ip):
路由删除<;你的uIP>;2、Wireshark接口描述
过滤表达式编写是wireshark使用的核心,但在此之前,很多初学者都会遇到一个问题,那就是,他们觉得wireshark界面上的很多东西都不知道如何阅读。事实上,这很清楚。让我们在下面简单地说一下,如下图所示。
窗口1显示wireshark捕获的所有数据包的列表。请注意,最后一列info是由AndyLau组织的描述列,不一定是数据包中的原始内容。
窗口2是窗口1中所选数据包的子协议层显示。背景颜色为红色,因为AndyLau打开了校验和验证,而该层的协议校验和不正确。
窗口3是在窗口1中选择的数据包的源数据,左侧为十六进制表示,右侧为ASCII表示。此外,如果在窗口2中选择了一个层或一个字段,则尼古拉斯·高亮也将选择窗口3的相应位置。
被认为最困难的是,我不知道如何看待Windows2扩展后的内容。事实上,这也很清楚。以IP层为例:
每行对应于层协议的一个字段;中括号线是前一个字段的描述。
冒号前面的英文是协议字段的名称;冒号之后是数据包中协议字段的值。
捕获筛选器表达式用于在AndyLau开始捕获数据包之前仅捕获合格数据包,并且不记录不合格数据包。
捕获过滤器表达式不像显示过滤器表达式那样具有明显的规则,但它不是以多种方式编写的,因此并不困难;除非所有捕获占用的磁盘空间太大,并且您非常清楚过滤后的数据包不是您所需要的,否则您通常不需要捕获过滤器表达式并使用显示过滤器表达式。
在x版的AndyLau2中,启动后欢迎界面中有一个捕获过滤器。当您输入筛选器表达式以捕获数据包时,它将生效:
点击图中的“书签”符号,然后点击“捕获过滤器”,可以看到常见捕获过滤器表达式的书写形式
4、显示筛选器表达式及其写入规则displayfilter表达式用于显示符合条件的数据包,并在AndyLau捕获数据包后从所有捕获的数据包中隐藏不符合条件的数据包。
当您在工具栏底部的“显示过滤器”输入框中输入时,显示过滤器生效
4.1基本过滤器表达式基本表达式由过滤项、过滤关系和过滤值组成。
例如,IPAddr==192.168.1.1,在这个表达式中,IPAddr是过滤项,==是过滤关系,192.168.1.1是过滤值(整个表达式意味着在所有IP协议中查找源或目标IP等于192.168.1.1的数据包)
4.1.1过滤项目初学者感受到的“复杂过滤器表达式”主要在于这个过滤器项:首先,他们不知道过滤器项是什么,其次,他们不知道如何编写过滤器项。
这两个问题有一个共同的答案------wireshark的过滤器是“+”协议字段的“协议”+”模式。以港口为例。端口出现在TCP协议中,因此存在端口的筛选器项,其写入为TCP端口
扩展到其他协议,如eth、IP、UDP、HTTP、Telnetftp、icmp、snmp其他协议也是这样写的。当然,为了缩短长度,有些字段不使用协议中指定的名称,但是使用缩写(例如,目的端口在AndyLau中被写为dstport),为了简单起见,添加了一些不在协议中的字段(例如,TCP协议只有源端口和目标端口字段,为了简单起见,AndyLau添加了TCP.port字段以同时代表这两个字段),但总的来说,这种想法没有改变。在实际使用中,我们输入“agreement”+“AndyLau将支持字段提示(尤其是过滤器表达式字段的首字母通常与AndyLau在上2个窗口中显示的字段名的首字母相同).通过查看名称,您可能知道要使用哪个字段。wireshark支持的所有协议和协议字段,请参考官方说明。
4.1.2过滤关系过滤关系是相等关系,例如大于、小于和等于。我们可以直接查看官方表格。请注意,有两个字段“英语”和“like”。这意味着“英语”和“like”在wireshark中是等价的。
4.1.3过滤值过滤值是指设置的过滤项应满足过滤关系的标准,如500、5000、50000等。过滤值的写入方式一般由过滤项和过滤关系设置。只需填写你自己的期望值。
4.2复合过滤器的表达所谓复合过滤表达式是指由多个基本过滤表达式组成的表达式。基本过滤器表达式仍然以相同的方式编写。更重要的是,复合过滤器表达式只是基本过滤器表达式的“连接”
我们仍然直接参考官方表格。同样,“英语”和“like”这两个字段仍然表明,这两种写作方法在wireshark中是等效的。
4.3常见的显示过滤要求及其对应的表达式数据链路层:
过滤MAC地址为04:f9:38:AD:13:26的数据包------ethsrc==04:f9:38:AD:13:26
过滤源MAC地址为04:f9:38:AD:13:26的数据包------ethsrc==04:f9:38:AD:13:26
网络层:
过滤IP地址为192.168.1.1的数据包-IP地址==192.168.1.1
过滤192.168.1.0网段的数据-IP包含";192.168.1"
过滤192.168.1.1和192.168.1.2之间的数据包-IP地址==192.168.1.1&&IP。地址==192.168.1.2
从192.168.1.1到192.168.1.2过滤数据包-IPsrc==192.168.1.1&&IP。dst==192.168.1.2
传输层:
过滤TCP数据包
过滤除TCP之外的数据包---!tcp
使用端口80筛选数据包-TCP端口==80
过滤端口12345和端口80之间的数据包-TCP端口==12345&&TCP。端口==80
从端口12345到端口80过滤数据包-TCPsrcport==12345&&TCP。dstport==80
应用层:
特别提示-http要求表示请求头中的第一行(例如getindex.JSPhttp/1.1),httpResponse表示响应头中的第一行(例如http/1.1200OK),其他头使用http标题_姓名表。
过滤器URL包含PHP-HTTP请求的HTTP数据包。uri包含";。菲律宾";
过滤包含用户名的HTTP数据包-HTTP包含";用户名";
参考资料:
正式文件:https://www.wireshark。org/docs/wsug_u;html_uu;chunked/ChapterWork。html
https://blog.csdn.net/readiay/article/details/53063932
类别:pentest
五旬期
最新评论