Wireshark 的抓包和分析,看這篇就夠了!

WireShark 是一個網絡封包分析軟件。網絡封包分析軟件的功能是擷取網絡封包,並儘可能顯示出最爲詳細的網絡封包資料。Wireshark 使用 WinPCAP 作爲接口,直接與網卡進行數據報文交換。在網絡封包和流量分析領域有着十分強大功能的工具,深受各類網絡工程師和網絡分析師的喜愛。

本文主要內容包括:

  • 1、Wireshark 主界面介紹。

  • 2、WireShark 簡單抓包示例。通過該例子學會怎麼抓包以及如何簡單查看分析數據包內容。

  • 3、Wireshark 過濾器使用。通過過濾器可以篩選出想要分析的內容。包括按照協議過濾、端口和主機名過濾、數據包內容過濾。

我們首先來介紹一下 Wireshark 這款軟件。

首先我們先認識一下這個軟件的主界面是長這樣的

在這個界面中爲 Wireshark 的主界面

選擇菜單欄上 Capture -> Option,勾選 WLAN 網卡(這裏需要根據各自電腦網卡使用情況選擇,簡單的辦法可以看使用的 IP 對應的網卡)。點擊 Start。啓動抓包。

wireshark 啓動後,wireshark 處於抓包狀態中。

1、執行需要抓包的操作,如 ping www.baidu.com。

2、操作完成後相關數據包就抓取到了。爲避免其他無用的數據包影響分析,可以通過在過濾欄設置過濾條件進行數據包列表過濾,獲取結果如下。說明:ip.addr == 119.75.217.26 and icmp 表示只顯示 ICPM 協議且源主機 IP 或者目的主機 IP 爲 119.75.217.26 的數據包。

3、wireshark 抓包完成,就這麼簡單。關於 wireshark 過濾條件和如何查看數據包中的詳細內容在後面介紹。

Wireshakr 抓包界面

說明:數據包列表區中不同的協議使用了不同的顏色區分。協議顏色標識定位在菜單欄 View --> Coloring Rules。如下所示

WireShark 主要分爲這幾個界面

  1. Display Filter(顯示過濾器), 用於設置過濾條件進行數據包列表過濾。菜單路徑:Analyze --> Display Filters。

  1. Packet List Pane(數據包列表), 顯示捕獲到的數據包,每個數據包包含編號,時間戳,源地址,目標地址,協議,長度,以及數據包信息。不同協議的數據包使用了不同的顏色區分顯示。

  1. Packet Details Pane(數據包詳細信息), 在數據包列表中選擇指定數據包,在數據包詳細信息中會顯示數據包的所有詳細信息內容。數據包詳細信息面板是最重要的,用來查看協議中的每一個字段。各行信息分別爲

(1)Frame:   物理層的數據幀概況

(2)Ethernet II: 數據鏈路層以太網幀頭部信息

(3)Internet Protocol Version 4: 互聯網層 IP 包頭部信息

(4)Transmission Control Protocol:  傳輸層 T 的數據段頭部信息,此處是 TCP

(5)Hypertext Transfer Protocol:  應用層的信息,此處是 HTTP 協議

TCP 包的具體內容

從下圖可以看到 wireshark 捕獲到的 TCP 包中的每個字段。

  1. Dissector Pane(數據包字節區)。

Wireshark 過濾器設置

初學者使用 wireshark 時,將會得到大量的冗餘數據包列表,以至於很難找到自己自己抓取的數據包部分。wireshar 工具中自帶了兩種類型的過濾器,學會使用這兩種過濾器會幫助我們在大量的數據中迅速找到我們需要的信息。

(1)抓包過濾器

捕獲過濾器的菜單欄路徑爲 Capture --> Capture Filters。用於在抓取數據包前設置。

如何使用?可以在抓取數據包前設置如下。

ip host 60.207.246.216 and icmp 表示只捕獲主機 IP 爲 60.207.246.216 的 ICMP 數據包。獲取結果如下:

(2)顯示過濾器

顯示過濾器是用於在抓取數據包後設置過濾條件進行過濾數據包。通常是在抓取數據包時設置條件相對寬泛,抓取的數據包內容較多時使用顯示過濾器設置條件顧慮以方便分析。同樣上述場景,在捕獲時未設置捕獲規則直接通過網卡進行抓取所有數據包,如下

執行 ping www.huawei.com 獲取的數據包列表如下

觀察上述獲取的數據包列表,含有大量的無效數據。這時可以通過設置顯示器過濾條件進行提取分析信息。ip.addr == 211.162.2.183 and icmp。並進行過濾。

上述介紹了抓包過濾器和顯示過濾器的基本使用方法。在組網不復雜或者流量不大情況下,使用顯示器過濾器進行抓包後處理就可以滿足我們使用。下面介紹一下兩者間的語法以及它們的區別。

wireshark 過濾器表達式的規則

1、抓包過濾器語法和實例

抓包過濾器類型 Type(host、net、port)、方向 Dir(src、dst)、協議 Proto(ether、ip、tcp、udp、http、icmp、ftp 等)、邏輯運算符(&& 與、|| 或、!非)

(1)協議過濾

比較簡單,直接在抓包過濾框中直接輸入協議名即可。

TCP,只顯示 TCP 協議的數據包列表

HTTP,只查看 HTTP 協議的數據包列表

ICMP,只顯示 ICMP 協議的數據包列表

(2)IP 過濾

host 192.168.1.104

src host 192.168.1.104

dst host 192.168.1.104

(3)端口過濾

port 80

src port 80

dst port 80

(4)邏輯運算符 && 與、|| 或、!非

src host 192.168.1.104 && dst port 80 抓取主機地址爲 192.168.1.80、目的端口爲 80 的數據包

host 192.168.1.104 || host 192.168.1.102 抓取主機爲 192.168.1.104 或者 192.168.1.102 的數據包

!broadcast 不抓取廣播數據包

2、顯示過濾器語法和實例

(1)比較操作符

比較操作符有 == 等於、!= 不等於、> 大於、<小於、>= 大於等於、<= 小於等於。

(2)協議過濾

比較簡單,直接在 Filter 框中直接輸入協議名即可。注意:協議名稱需要輸入小寫。

tcp,只顯示 TCP 協議的數據包列表

http,只查看 HTTP 協議的數據包列表

icmp,只顯示 ICMP 協議的數據包列表

(3) ip 過濾

ip.src ==192.168.1.104 顯示源地址爲 192.168.1.104 的數據包列表

ip.dst==192.168.1.104, 顯示目標地址爲 192.168.1.104 的數據包列表

ip.addr == 192.168.1.104 顯示源 IP 地址或目標 IP 地址爲 192.168.1.104 的數據包列表

(4)端口過濾

tcp.port ==80,  顯示源主機或者目的主機端口爲 80 的數據包列表。

tcp.srcport == 80,  只顯示 TCP 協議的源主機端口爲 80 的數據包列表。

tcp.dstport == 80,只顯示 TCP 協議的目的主機端口爲 80 的數據包列表。

(5) Http 模式過濾

http.request.method=="GET",   只顯示 HTTP GET 方法的。

(6)邏輯運算符爲 and/or/not

過濾多個條件組合時,使用 and/or。比如獲取 IP 地址爲 192.168.1.104 的 ICMP 數據包表達式爲 ip.addr == 192.168.1.104 and icmp

(7)按照數據包內容過濾。假設我要以 IMCP 層中的內容進行過濾,可以單擊選中界面中的碼流,在下方進行選中數據。如下

右鍵單擊選中後出現如下界面

選中 Select 後在過濾器中顯示如下

後面條件表達式就需要自己填寫。如下我想過濾出 data 數據包中包含 "abcd" 內容的數據流。包含的關鍵詞是 contains 後面跟上內容。

看到這, 基本上對 wireshak 有了初步瞭解。

Wireshark 抓包分析 TCP 三次握手

(1)TCP 三次握手連接建立過程

Step1:客戶端發送一個 SYN=1,ACK=0 標誌的數據包給服務端,請求進行連接,這是第一次握手;

Step2:服務端收到請求並且允許連接的話,就會發送一個 SYN=1,ACK=1 標誌的數據包給發送端,告訴它,可以通訊了,並且讓客戶端發送一個確認數據包,這是第二次握手;

Step3:服務端發送一個 SYN=0,ACK=1 的數據包給客戶端端,告訴它連接已被確認,這就是第三次握手。TCP 連接建立,開始通訊。

(2)wireshark 抓包獲取訪問指定服務端數據包

Step1:啓動 wireshark 抓包,打開瀏覽器輸入 www.huawei.com。

Step2:使用 ping www.huawei.com 獲取 IP。

Step3:輸入過濾條件獲取待分析數據包列表 ip.addr == 211.162.2.183

圖中可以看到 wireshark 截獲到了三次握手的三個數據包。第四個包纔是 HTTP 的, 這說明 HTTP 的確是使用 TCP 建立連接的。

第一次握手數據包

客戶端發送一個 TCP,標誌位爲 SYN,序列號爲 0, 代表客戶端請求建立連接。如下圖。

數據包的關鍵屬性如下:

SYN :標誌位,表示請求建立連接

Seq = 0 :初始建立連接值爲 0,數據包的相對序列號從 0 開始,表示當前還沒有發送數據

Ack =0:初始建立連接值爲 0,已經收到包的數量,表示當前沒有接收到數據

第二次握手的數據包

服務器發回確認包, 標誌位爲 SYN,ACK. 將確認序號 (Acknowledgement Number) 設置爲客戶的 I S N 加 1 以. 即 0+1=1, 如下圖

數據包的關鍵屬性如下:

[SYN + ACK]: 標誌位,同意建立連接,並回送 SYN+ACK

Seq = 0 :初始建立值爲 0,表示當前還沒有發送數據

Ack = 1:表示當前端成功接收的數據位數,雖然客戶端沒有發送任何有效數據,確認號還是被加 1,因爲包含 SYN 或 FIN 標誌位。(並不會對有效數據的計數產生影響,因爲含有 SYN 或 FIN 標誌位的包並不攜帶有效數據)

第三次握手的數據包

客戶端再次發送確認包 (ACK) SYN 標誌位爲 0,ACK 標誌位爲 1. 並且把服務器發來 ACK 的序號字段 + 1, 放在確定字段中發送給對方. 並且在數據段放寫 ISN 的 + 1, 如下圖:

數據包的關鍵屬性如下:

ACK :標誌位,表示已經收到記錄

Seq = 1 :表示當前已經發送 1 個數據

Ack = 1 : 表示當前端成功接收的數據位數,雖然服務端沒有發送任何有效數據,確認號還是被加 1,因爲包含 SYN 或 FIN 標誌位(並不會對有效數據的計數產生影響,因爲含有 SYN 或 FIN 標誌位的包並不攜帶有效數據)。

就這樣通過了 TCP 三次握手,建立了連接。開始進行數據交互

下面針對數據交互過程的數據包進行一些說明:

數據包的關鍵屬性說明

Seq: 1

Ack: 1: 說明現在共收到 1 字節數據

Seq: 1
Ack: 951: 說明現在服務端共收到 951 字節數據

在 TCP 層,有個 FLAGS 字段,這個字段有以下幾個標識:SYN, FIN, ACK, PSH, RST, URG。如下

其中,對於我們日常的分析有用的就是前面的五個字段。它們的含義是:SYN 表示建立連接,FIN 表示關閉連接,ACK 表示響應,PSH 表示有 DATA 數據傳輸,RST 表示連接重置。

Wireshark 分析常用操作

調整數據包列表中時間戳顯示格式。調整方法爲 View -->Time Display Format --> Date and Time of Day。調整後格式如下:

這些就是 WireShark 的常用操作了。

免責聲明:本文作者:雲影安全團隊,

轉載請註明來自 FreeBuf.COM,龍哥在此致謝!

本文由 Readfog 進行 AMP 轉碼,版權歸原作者所有。
來源https://mp.weixin.qq.com/s/MUw5O623KHHhxhj1Pi7cQg

猜你喜歡