Wireshark零基础使用教程(超详细)

这篇具有很好参考价值的文章主要介绍了Wireshark零基础使用教程(超详细)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

「作者主页」:士别三日wyx
「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「专栏简介」:此文章已录入专栏《网络安全快速入门》

wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生

一、Wireshark是什么

Wireshark是使用最广泛的一款「开源抓包软件」,常用来检测网络问题、攻击溯源、或者分析底层通信机制。

它使用WinPCAP作为接口,直接与网卡进行数据报文交换。

二、Wireshark抓包原理

Wireshark使用的环境大致分为两种,一种是电脑直连互联网的单机环境,另外一种就是应用比较多的互联网环境,也就是连接交换机的情况。

「单机情况」下,Wireshark直接抓取本机网卡的网络流量;
「交换机情况」下,Wireshark通过端口镜像、ARP欺骗等方式获取局域网中的网络流量。

  • 端口镜像:利用交换机的接口,将局域网的网络流量转发到指定电脑的网卡上。
  • ARP欺骗:交换机根据MAC地址转发数据,伪装其他终端的MAC地址,从而获取局域网的网络流量。

三、Wireshark安装入门。

详细安装步骤请参考我的另一篇文章:
超详细,Wireshark 3.6.3安装教程(Windows系统)

安装完成后,我们学习一下快速抓包。

1. 选择网卡

打开 Wireshark 后,会直接进入「网卡选择界面」,WLAN 是我连接无线的网卡,我们抓一下这个网卡的流量,双击网卡名,自动开始抓包。

wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生

2. 停止抓包

点击左上角的「红色按钮」,可以停止抓包
wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生

3. 保存数据

点击右上角的「文件」,选择「保存」,可以保存抓包的数据

wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生
也可以直接点击工具栏的保存按钮

wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生

四、界面介绍

wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生
Wireshark 的主界面包含6个部分:

  1. 菜单栏:用于调试、配置
  2. 工具栏:常用功能的快捷方式
  3. 过滤栏:指定过滤条件,过滤数据包
  4. 数据包列表:核心区域,每一行就是一个数据包
  5. 数据包详情:数据包的详细数据
  6. 数据包字节:数据包对应的字节流,二进制

五、基础操作

接下来,我们学习一下Wireshark常用的操作。

1. 调整界面大小

工具栏中的三个「放大镜」图标,可以调整主界面数据的大小。
wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生
从左到右依次是:放大、缩小、还原默认大小。

2. 设置显示列

数据包列表是最常用的模块之一,列表中有一些默认显示的列,我们可以添加、删除、修改显示的列。

1)添加显示列

想要在数据列表中显示某一个字段,可以将这个数据字段添加至显示列中。
左键选中想要添加为列的字段,右键选择「应用为列」

wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生
选中字段,按 Ctrl + Shift + I ,也可以实现同样的效果。

添加为列的字段会在数据列表中显示。
wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生

2)隐藏显示列

暂时不想查看的列,可以暂时隐藏起来。
在显示列的任意位置右键,取消列名的「勾选」,即可隐藏显示列。

wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生

3)删除显示列

不需要查看的字段,可以从显示列中删除。
右键需要删除的列,点击最下方的「Remove this Column」

wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生
注意:隐藏字段时,在列名栏的任意位置右键即可;而删除字段时,需要在指定的列名位置右键,以防误删。

3. 设置时间

数据包列表栏的时间这一列,默认显示格式看起来很不方便,我们可以调整时间的显示格式。
点击工具栏的「视图」,选择「时间显示格式」,设置你喜欢的格式。
wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生

4. 标记数据包

对于某些比较重要的数据包,可以设置成高亮显示,以达到标记的目的。
选中需要标记的数据包,右键选择最上面的「标记/取消标记」

wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生
选中数据包,按 Ctrl + M 也可以实现同样的效果,按两次可以取消标记。

5. 导出数据包

演示快速抓包时,我们讲过保存数据包的操作,保存操作默认保存所有已经抓取的数据包。但有时候,我们只需要保存指定的数据包,这时候可以使用导出的功能。

1)导出单个数据包

选中数据包,点击左上角的「文件」,点击「导出特定分组」

wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生
「导出分组界面」,选择第二个 「Selected packets only」,只保存选中的数据包。

wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生

2)导出多个数据包

有时候我们需要导出多个数据包,Wireshark有一个导出标记的数据包的功能,我们将需要导出的数据包都标记起来,就可以同时导出多个数据包。

点击左上角的「文件」,点击「导出特定分组」

wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生
「导出分组界面」,勾选第三个 「Marked packets only」,只导出标记的数据包。

wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生

6. 开启混杂模式

局域网的所有流量都会发送给我们的电脑,默认情况下,我们的电脑只会对自己mac的流量进行解包,而丢弃其他mac的数据包。
开启混杂模式后,我们就可以解析其他mac的数据包,因此,我们使用Wireshark时,通常都会开启混杂模式。

点击菜单栏的「捕获」按钮,点击「选项」

wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生
勾选 在所有接口上使用混杂模式。

wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生

六、过滤器操作

过滤器是Wireshark的核心功能,也是我们平时使用最多的一个功能。

Wireshark提供了两个过滤器:抓包过滤器 和 显示过滤器。两个过滤器的过滤思路不同。

  1. 抓包过滤器:重点在动作,需要的包我才抓,不需要的我就不抓。
  2. 显示过滤器:重点在数据的展示,包已经抓了,只是不显示出来。

1. 抓包过滤器

抓包过滤器在抓包前使用,它的过滤有一个基本的语法格式:BPF语法格式。

1)BPF语法

BPF(全称 Berkeley Packet Filter),中文叫伯克利封包过滤器,它有四个核心元素:类型、方向、协议 和 逻辑运算符。

  1. 类型Type:主机(host)、网段(net)、端口(port)
  2. 方向Dir:源地址(src)、目标地址(dst)
  3. 协议Proto:各种网络协议,比如:tcp、udp、http
  4. 逻辑运算符:与( && )、或( || )、非( !)

四个元素可以自由组合,比如:

  • src host 192.168.31.1:抓取源IP为 192.168.31.1 的数据包
  • tcp || udp:抓取 TCP 或者 UDP 协议的数据包

2)使用方式

使用抓包过滤器时,需要先停止抓包,设置完过滤规则后,再开始抓包。

停止抓包的前提下,点击工具栏的捕获按钮,点击选项。

wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生
在弹出的捕获选项界面,最下方的输入框中输入过滤语句,点击开始即可抓包。

wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生
提示:抓包过滤器的输入框,会自动检测语法,绿色代表语法正确,红色代表语法错误。

2. 显示过滤器

显示过滤器在抓包后或者抓包的过程中使用。

1)语法结构

显示过滤器的语法包含5个核心元素:IP、端口、协议、比较运算符和逻辑运算符。

  1. IP地址:ip.addr、ip.src、ip.dst
  2. 端口:tcp.port、tcp.srcport、tcp.dstport
  3. 协议:tcp、udp、http
  4. 比较运算符:> < == >= <= !=
  5. 逻辑运算符:and、or、not、xor(有且仅有一个条件被满足)

5个核心元素可以自由组合,比如:

  • ip.addr == 192.168.32.121:显示IP地址为 192.168.32.121 的数据包
  • tcp.port == 80 :显示端口为 80 的数据包

2)使用方式

在过滤栏输入过滤语句,修改后立即生效。

wireshark使用教程,《网络安全快速入门》,网络安全,安全,云原生
提示:过滤栏有自动纠错功能,绿色表示语法正确,红色表示语法错误。文章来源地址https://www.toymoban.com/news/detail-779314.html

到了这里,关于Wireshark零基础使用教程(超详细)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • wireshark抓包新手使用教程(超详细)

    Wireshark是一款非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。 为了安全考虑,wireshark只能查看封包,而 不能修改封包的内容 ,或者发送封包。 wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以 wireshark看不懂HTTPS中的内容 2.1、安装

    2024年02月15日
    浏览(43)
  • 超详细的wireshark抓包使用教程

    Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。本文主要内容包括:   1、Wireshark软件下载和安装以及Wireshark主界面介绍。   2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看

    2024年02月06日
    浏览(54)
  • Wireshark (四) wireshark解密HTTPS(1),网络安全架构师必备技术

    Wireshark配置Secret log 抓取https服务器流量 打开浏览器 访问我们安装好的https服务器 打开wireshark 进行抓包无法查看到http的流量包 流量包被tls进行了加密 使用(Pre)-Master-Secret的keylog日志文件解密 配置环境变量导出文件 浏览器和一些客户端应用程序会将使用的TLS密钥导出到一

    2024年04月27日
    浏览(36)
  • wireshark流量分析网络安全

    目录  前言: 题目1: 题目2: 题目3: 题目4: 题目5: 题目6: 题目7: 题目8: 这是关于一篇wireshark分析数据包的文章,主要是网络安全里的应用,讲述了wireshark的使用方法,主要使用的事wrieshark里的追踪流,欢迎大家学习借鉴!  从靶机服务器的FTP上下载wireshark0051.pcap数

    2024年02月11日
    浏览(39)
  • 【网络安全 | 网络协议】结合Wireshark讲解IP协议

    当我们进行数据传输时,操作系统会创建一个 ICMP Echo Request 数据包,并在该数据包中包含要发送的目标 IP 地址。然后操作系统将数据包传递给网络协议栈,该数据包被封装成 IP 数据包。IP 数据包的头部包含源 IP 地址和目标 IP 地址等信息。封装后的 IP 数据包被传递到数据链

    2024年02月03日
    浏览(43)
  • 网络安全工具——Wireshark抓包工具

    Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 网络管理员使用Wireshark 来检测网络问题, 网络安全工程师使用Wireshark来检查资讯安全相关问题

    2024年02月13日
    浏览(36)
  • 【网络安全 | 网络协议】结合Wireshark讲解TCP三次握手

    TCP(传输控制协议)是一种面向连接的、可靠的传输层协议。在建立 TCP 连接时,需要进行三次握手,防止因为网络延迟、拥塞等原因导致的数据丢失或错误传输,确保双方都能够正常通信。 TCP三次握手在Wireshark数据包中是如何体现的?在此之前,先熟悉TCP三次握手的流程。

    2024年02月03日
    浏览(44)
  • 网络安全:WireShark 抓包及常用协议分析

    打开kali终端进入wireshark 进入到wireshark点击选项 勾选选项混杂模式开始抓包 进入终端打开火狐,打开百度进行抓包 这时我们抓到了很多类型的数据包 上方的过滤器可以指定类型数据宝或者指定源地址目标地址等等,例如现在抓取arp协议的数据包 我们ping一个地址 我们可以用

    2023年04月08日
    浏览(51)
  • 【网络】抓包工具Wireshark下载安装和基本使用教程

    🦄 个人主页——🎐开着拖拉机回家_Linux,大数据运维-CSDN博客 🎐✨🍁 🪁🍁 希望本文能够给您带来一定的帮助🌸文章粗浅,敬请批评指正!🍁🐥 🪁🍁🪁🍁🪁🍁🪁🍁 🪁🍁🪁🍁🪁🍁🪁 🪁🍁🪁🍁🪁🍁🪁🍁🪁🍁🪁🍁 感谢点赞和关注 ,每天进步一点点!加油

    2024年02月08日
    浏览(48)
  • 【网络技术】【Kali Linux】Wireshark嗅探(九)安全HTTP协议(HTTPS协议)

    本次实验是基于之前的实验:Wireshark嗅探(七)(HTTP协议)进行的。本次实验使用Wireshark流量分析工具进行网络嗅探,旨在初步了解安全的HTTP协议(HTTPS协议)的工作原理。 HTTPS的含义是HTTP + SSL,即使用SSL(安全套接字)协议对通信数据进行加密。HTTP和HTTPS协议的区别(用

    2024年01月20日
    浏览(51)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包