溯源(四)之流量分析-Wireshark使用

这篇具有很好参考价值的文章主要介绍了溯源(四)之流量分析-Wireshark使用。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

溯源(一)之溯源的概念与意义
溯源(二)之 windows-还原攻击路径
溯源(三)之Linux-入侵排查

Wireshark介绍

1、wirshark介绍:

Wireshark是一个网络封包分析软件。使用WinPCAP作为接口,直接与网卡进行数据报文交换。我们网络安全工程师或者软件工程师可以利用wireshark来进行分析网络。

wireshark只能查看封包,而不能修改封包的内容,或者发送封包。bp、Fiddler就可以改包

仅仅只是监听共享网络上传送的数据包。

2、什么人会用到wireshark

  1. 网络管理员会使用wireshark来检查网络问题
  2. 软件测试工程师使用wireshark抓包,来分析自己测试的软件
  3. 从事socket编程的工程师会用wireshark来调试
  4. 安全工程师用到wireshark来分析TCP,UDP流量。
    总之跟网络相关的东西,都可能会用到wireshark.

Wireshark使用

网卡选择模式

2、开启混杂模式

局域网的所有流量都会发送给我们的电脑,默认情况下,我们的电脑只会对自己mac的流量进行解包,而丢弃其他mac的数据包。

开启混杂模式后,我们就可以解析其他mac的数据包,因此,我们使用Wireshark时,通常都会开启混杂模式。

点击菜单栏的「捕获」按钮,点击「选项」

溯源(四)之流量分析-Wireshark使用

在这里选择要监听的网卡和设置混杂模式

溯源(四)之流量分析-Wireshark使用

过滤器

  • Wireshark提供了两种过滤器:
    1、捕获过滤器
    2、显示过滤器

1、捕获过滤器

溯源(四)之流量分析-Wireshark使用

在抓包之前就设定好过滤条件,然后只抓取符合条件的数据包

捕获(Capture)–捕获过滤器(Option)

捕获(Capture)–捕获过滤器(Capture Filters)

过滤基本的语法格式:BPF语法格式。

1)BPF语法

BPF(全称 Berkeley Packet Filter),中文叫伯克利封包过滤器,它有四个核心元素:类型、方向、协议 和 逻辑运算符。

  1. 类型Type:主机(host)、网段(net)、端口(port)
  2. 方向Dir:源地址(src)、目标地址(dst)
  3. 协议Proto:各种网络协议,比如:tcp、udp、http
  4. 逻辑运算符:与( && )、或( || )、非( !)

四个元素可以自由组合,比如:

  1. src host 192.168.31.1:抓取源IP为 192.168.31.1 的数据包
  2. tcp || udp:抓取 TCP 或者 UDP 协议的数据包

2、显示过滤器
在已捕获的数据包集合中设置过滤条件,隐藏不想显示的数据包,只显示符合条件的数据包。
用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛,抓取的数据包内容较多时使用显示过滤器设置条件顾虑以方便分析。同样上述场景,在捕获时未设置捕获规则直接通过网卡进行抓取所有数据包。

显示过滤器的语法包含5个核心元素:IP、端口、协议、比较运算符和逻辑运算符。

  1. IP地址:ip.addr、ip.src、ip.dst
  2. 端口:tcp.port、tcp.srcport、tcp.dstport
  3. 协议:tcp、udp、http
  4. 比较运算符:> < == >= <= !=
  5. 逻辑运算符:and、or、not、xor(有且仅有一个条件被满足)

5个核心元素可以自由组合,比如:

  • ip.addr == 192.168.32.121:显示IP地址为 192.168.32.121 的数据包
  • tcp.port == 80 :显示端口为 80 的数据包

使用方法:在过滤栏输入过滤语句,修改后立即生效。

溯源(四)之流量分析-Wireshark使用

3、过滤器具体写法

  • 显示过滤器写法
    1、过滤值比较符号及表达式之间的组合
    2、针对ip的过滤
    3、针对协议的过滤
    4、针对端口的过滤(视传输协议而定)
    5、针对长度和内容的过滤
    6、针对http请求的一些过滤实例。
  • 捕捉过滤器写法
    1、比较符号
    2、常用表达式实例

注意:这两种过滤器所使用的语法是完全不同的,捕捉网卡数据的其实并不是Wireshark,而是WinPcap,当然要按WinPcap的规则来,显示过滤器就是Wireshark对已捕捉的数据进行筛选。

使用捕获过滤器的主要原因就是性能。如果你知道并不需要分析某个类型的流量,那么可以简单地使用捕获过滤器过滤掉它,从而节省那些会被用来捕获这些数据包的处理器资源。当处理大量数据的时候,使用捕获过滤器是相当好用的。

Wireshark拦截通过网卡访问的所有数据,前提是没有设置任何代理。Wireshark不能拦截本地回环访问的请求,即127.0.0.1或者localhost。

溯源(四)之流量分析-Wireshark使用

溯源(四)之流量分析-Wireshark使用

2、针对ip的过滤

  • 对源地址进行过滤
ip.src == 192.168.0.1
  • 对目的地址进行过滤
ip.dst == 192.168.0.1
  • 对源地址或者目的地址进行过滤
ip.addr == 192.168.0.1
  • 如果想排除以上的数据包,只需要将其用括号囊括,然后使用 “!” 即可
!(ip.addr == 192.168.0.1)

3、针对协议的过滤

  • 获某种协议的数据包,表达式很简单仅仅需要把协议的名字输入即可
http

注意:是区分大小写,只能为小写

  • 捕获多种协议的数据包
http or telnet
  • 排除某种协议的数据包
not arp 或者 !tcp

4、针对端口的过滤(视传输协议而定)

  • 捕获某一端口的数据包(以tcp协议为例)
tcp.port == 80
  • 捕获多端口的数据包,可以使用and来连接,下面是捕获高于某端口的表达式(以udp协议为例)
udp.port >= 2048

5、针对长度和内容的过滤

  • 针对长度的过虑(这里的长度指定的是数据段的长度)
udp.length < 20   http.content_length <=30
  • 针对uri 内容的过滤
http.request.uri matches 'user' (请求的uri中包含“user”关键字的)

注意:matches 后的关键字是不区分大小写的!

http.request.uri contains 'User' (请求的uri中包含“user”关键字的)

注意:contains 后的关键字是区分大小写的!

5、针对http请求的一些过滤实例。

  • 过滤出请求地址中包含“user”的请求,不包括域名;
http.request.uri contains 'User'
  • 精确过滤域名
http.host==baidu.com
  • 模糊过滤域名
http.host contains 'baidu'
  • 过滤请求的content_type类型
http.content_type =='text/html'
  • 过滤http请求方法
http.request.method=='POST'
  • 过滤tcp端口
tcp.port==80
http && tcp.port==80 or tcp.port==5566
  • 过滤http响应状态码
http.response.code==302
  • 过滤含有指定cookie的http数据包

http.cookie contains 'userid'

比较符号

与:&&或者and或:||或者or非:!或者not

实例:

src or dst portrange 6000-8000 && tcp or ip6

2、常用表达式实例文章来源地址https://www.toymoban.com/news/detail-513919.html

  • 源地址过滤
src www.baidu.com
  • 目的地址过滤
dst www.baidu.com
  • 目的地址端口过滤
dst post 80

到了这里,关于溯源(四)之流量分析-Wireshark使用的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Wireshark流量分析

    目录 1.基本介绍 2.基本使用 1)数据包筛选: 2)筛选ip: 3)数据包还原  4)数据提取  3.wireshark实例 1. 基本介绍 在CTF比赛中,对于流量包的分析取证是一种十分重要的题型。通常这类题目都是会提供一个包含流量数据的pcap文件,参赛选手通过该文件筛选和过滤其中无关的流

    2024年02月11日
    浏览(42)
  • Wireshark流量分析例题

    目录 前言  一、题目一(1.pcap) 二、题目二(2.pcap) 三、题目三(3.pcap) 四、题目四(4.pcap) Wireshark流量包分析对于安全来说是很重要的,我们可以通过Wireshark来诊断网络问题,检测网络攻击、监控网络流量以及捕获恶意软件等等 接下来我们来看一道数据分析题,需要4个流量包 1-

    2024年02月11日
    浏览(39)
  • wireshark流量分析网络安全

    目录  前言: 题目1: 题目2: 题目3: 题目4: 题目5: 题目6: 题目7: 题目8: 这是关于一篇wireshark分析数据包的文章,主要是网络安全里的应用,讲述了wireshark的使用方法,主要使用的事wrieshark里的追踪流,欢迎大家学习借鉴!  从靶机服务器的FTP上下载wireshark0051.pcap数

    2024年02月11日
    浏览(41)
  • 简单流量分析CTF(wireshark)

    没做过流量分析的题目,也不怎么了解怎么流量分析,准备系统的理一下思路。。 这有第一个小题目。通过几个题目来了解wireshark的使用以及流量分析吧。。 bugku的杂项题目。 链接:https://pan.baidu.com/s/1OnO7OXIQB8ztl8J2q48jBA 提取码:1111 这是一个 pacp文件  是一种常用的数据报存

    2024年02月07日
    浏览(39)
  • wireshark网络安全流量分析基础

    网络安全流量分析领域中,wireshark和csnas是取证、安全分析的好工具,包括很多研究安全规则、APT及木马流量特征的小伙伴,也会常用到两个工具。这两款流量嗅探、分析软件,今天先介绍wireshark作为安全分析工具的基本使用。  Wireshark对pcap包分析过程中常用的功能基本上包

    2024年02月12日
    浏览(43)
  • Wireshark流量分析还原zip文件

    以下内容为数据取证靶场题目 通过提示下载流量包,导入到wireshark开始分析 此处发现访问了可疑的压缩包文件 通过右键 追踪TCP流 进一步分析 以下为该压缩包的请求包和响应包内容,我们需要的是响应包中的响应体 选中该http请求后,选择Media Type,右键选择 导出分组字节流

    2024年02月17日
    浏览(43)
  • suricata初体验+wireshark流量分析

    目录 一、suricata介绍 1.下载安装 2.如何使用-攻击模拟 二、wireshark流量分析 1.wireshark过滤器使用  2.wireshark其他使用 通过官网下载suricata,根据官网步骤进行安装。    以上配置完毕后,重启suricata。  进入wazuh匹配文件,需将suricata加入,使wazuh代理可以读取suricata日志文件。

    2024年02月11日
    浏览(31)
  • 【网络工程】网络流量分析工具 Wireshark

    Wireshark (前身 Ethereal):它是一个强大的网络封包分析软件工具 ! 此工具使用WinPCAP作为接口,直接与网卡进行数据报文交换。主要用来捕获截取网络数据包的,并自动解析数据包为用户显示数据包详细信息,供用户对数据包进行分析。 下载及安装: 点击这里 1.打开网址,进入

    2024年02月13日
    浏览(39)
  • 用wireshark流量分析的四个案例

    目录 第一题 1 2 3 4 第二题 1 2 3. 第三题 1 2 第四题 1 2 3 题目: 1.黑客攻击的第一个受害主机的网卡IP地址 2.黑客对URL的哪一个参数实施了SQL注入 3.第一个受害主机网站数据库的表前缀(加上下划线例如abc ) 4.第一个受害主机网站数据库的名字 打开流量包,直接筛选http || tls找

    2024年02月10日
    浏览(43)
  • 流量分析-Wireshark -操作手册(不能说最全,只能说更全)

    流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法 👍 常用筛选命令方法 常⽤快捷键 👍 数据包筛选 等等 ⽹络流量分析是指捕捉⽹络中流动的数据包,并通过查看包内部数据以及进⾏相关的协议、流量分析、统计等来发现⽹

    2024年02月07日
    浏览(37)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包