freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

wireshark流量分析入门
2020-09-23 01:44:32

wireshark流量分析入门

打开wireshark后,按ctrl+K,勾选需要抓包的网卡,我这里勾选WLAN。

点击Start开始抓包。

1600796454_5f6a3726d8ad503007e9b.png!small

wireshark过滤器表达式

协议过滤

  • TCP:只显示TCP协议的数据流

  • HTTP:只显示HTTP协议的数据流

  • ICMP:只显示ICMP协议的数据流

  • ARP:只显示ARP协议的数据流

  • DNS:显示DNS协议的数据流

IP过滤

  • ip.addr = 192.168.116.138,只显示ip为192.168.116.138有关的数据流

  • ip.src = 192.168.116.138,只显示源IP地址为192.168.116.138的数据流

  • ip.dst = 192.168.116.138,只显示目标IP地址为192.168.116.138的数据流

端口过滤

  • tcp.port == 80,只显示80端口TCP数据流

  • udp.prot == 67,只显示67端口UDP数据流

  • tcp.srcport == 80, 只显示源地址的80端口数据流

  • tcp.dstport == 80,只显示目的地址80端口数据流

过滤HTTP协议

  • http.request.method=="GET",显示get请求

  • http.request.method=="POST" ,显示POST请求

  • http.request.url contains admin ,显示url中包含admin的 请求

  • http.request.code==404,显示状态码为404

连接符

and,or

如tcp.port == 80 and ip.addr = 192.168.116.138

wireshark着色规则

点开左上角视图中的着色规则就可以看到

数据流的追踪

我们的一个完整的数据流一般都是由很多个包组成的,

所以当我们想查看某条数据包对于的数据流的话。可以选中数据,右键选择追踪流。

里面就会有tcp流、udp流、ssl流、http流。数据包属于哪种流就选择对应的流。

当我们选择了追踪流时,会弹出该流的完整的数据流还有这个数据流中包含的数据包,对话框下面可以选择数据流方向,顶部的过滤器就是该流的过滤规则。

1600796507_5f6a375b6bcc8cc0e4b52.png!small

数据包的统计分析

协议分级统计

协议分级统计功能可以查看所选包协议的分布情况,帮助识别可疑协议,和不正常的网络应用程序。

Endpoints

在Endpoints窗口中,可以通过排序Bytes和Tx Bytes来判断占用带宽最大的主机

1600796547_5f6a3783bb78819717c11.png!small

Conversations

Conversions窗口可以看到两个主机之间发送/接收数据包的数量、字节大小以及数据的流向情况,也可以通过排序来判断占用最大带宽的主机

在Conversions窗口中只能看到会话的统计情况,无法看到包的具体内容。

这时可以使用快速过滤会话功能,过滤出想要查看的内容。

快速过滤会话的功能在Conversions窗口中进行操作,可以对选中的会话或者非选中的会话选择数据流向进行过滤。

数据包的大致结构

  • 第一行:数据包整体概述,

  • 第二行:链路层详细信息,主要的是双方的mac地址

  • 第三行:网络层详细信息,主要的是双方的IP地址

  • 第四行:传输层的详细信息,主要的是双方的端口号。

  • 第五行:TCP或UDP是传输的DATA,DNS这是域名的相关信息

# Wireshark # 流量分析 # wireshark使用
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者