⑴ wireshark是干什麼用的
Wireshark(前稱Ethereal)是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包,並盡可能顯示出最為詳細的網路封包資料。Wireshark使用WinPCAP作為介面,直接與網卡進行數據報文交換。
網路封包[分析軟體的功能可想像成 "電工技師使用電表來量測電流、電壓、電阻" 的工作 - 只是將場景移植到網路上,並將電線替換成網路線。在過去,網路封包分析軟體是非常昂貴,或是專門屬於營利用的軟體。Ethereal的出現改變了這一切。在GNUGPL通用許可證的保障范圍底下,使用者可以以免費的代價取得軟體與其源代碼,並擁有針對其源代碼修改及客制化的權利。Ethereal是目前全世界最廣泛的網路封包分析軟體之一。
工作流程:
(1)確定Wireshark的位置。如果沒有一個正確的位置,啟動Wireshark後會花費很長的時間捕獲一些與自己無關的數據。
(2)選擇捕獲介面。一般都是選擇連接到Internet網路的介面,這樣才可以捕獲到與網路相關的數據。否則,捕獲到的其它數據對自己也沒有任何幫助。
(3)使用捕獲過濾器。通過設置捕獲過濾器,可以避免產生過大的捕獲文件。這樣用戶在分析數據時,也不會受其它數據干擾。而且,還可以為用戶節約大量的時間。
(4)使用顯示過濾器。通常使用捕獲過濾器過濾後的數據,往往還是很復雜。為了使過濾的數據包再更細致,此時使用顯示過濾器進行過濾。
(5)使用著色規則。通常使用顯示過濾器過濾後的數據,都是有用的數據包。如果想更加突出的顯示某個會話,可以使用著色規則高亮顯示。
(6)構建圖表。如果用戶想要更明顯的看出一個網路中數據的變化情況,使用圖表的形式可以很方便的展現數據分布情況。
(7)重組數據。Wireshark的重組功能,可以重組一個會話中不同數據包的信息,或者是一個重組一個完整的圖片或文件。由於傳輸的文件往往較大,所以信息分布在多個數據包中。為了能夠查看到整個圖片或文件,這時候就需要使用重組數據的方法來實現。
⑵ 關於WireShark所保存文件格式
winpcap庫自己的格式,在wireshark網站上有詳細說明。也就是文件頭+(包頭+包內容)。。。這種格式。讀取的話,用winpcap開發包就可以讀取了。
⑶ Wireshark如何生成抓包文件
Wireshark 一般在抓包的時候無需過濾,直接在數據分析時候過濾出來你想要的數據就成了。
1.具體為->Interface->(選擇你的網卡)start
這時候數據界面就顯示了當前網卡的所有數據和協議了。
2.下來就是找到我們想要的數據
教你一些技巧,比如我們要找ip地址為192.168.2.110的交互數據
可以在 Filter:裡面填寫 ip.addr == 192.168.2.110 (回車或者點Apply就OK)
如果我們只想抓TCP的 ip.addr == 192.168.2.110 && tcp (注意要小寫)
如果不想看到ACK ip.addr == 192.168.2.110 && tcp && tcp.len != 0
如果要看數據包中含有5252的值的數據(注意此處為16進制)
ip.addr == 192.168.2.110 && tcp && tcp.len != 0 && (data.data contains 5252)
3. 含有很多過濾方法可以點擊Express,裡面有一些選項,自己多試試。
用好一個工具很重要,但要長期的積累才行,自己多使用,多看點教程就OK。
希望對你有用!
⑷ wireshark快速指南
學過網路的同學都知道,互聯網信息的傳遞都是通過網路數據包來完成的。那麼抓取網路數據包對於我們學習網路知識,查找網路問題甚至逆向工程都是至關重要的。
現在本文以Linux 下版本號為1.10.14的wireshark向大家介紹。
wireshark是一款開源的,支持多種操作系統,多種網路協議的抓包工具。它簡單容易上手,並且說明文檔齊全(官網有詳盡的guide book)。
下面跟其他常見的抓包工具進行對比:
注意:只要將手機網路連接到安裝了wireshark的主機上(比如開熱點wifi),就可以抓到手機上的數據包,而不一定要在手機上安裝抓包工具
主要介紹兩個頁面,一個是起始頁,一個是包列表頁。起始頁展示了介面列表(網卡,藍牙,USB等數據埠),捕獲選項以及一些幫助信息。點擊開始捕獲包後就會進入包列表頁,包列表頁展示捕獲到的包,選中包對應的協議信息及其原始十六進制數據
起始頁展示了可供抓包的介面列表,選中想要捕獲的介面開始抓包。捕獲選項里可以設置捕獲過濾規則以及捕獲停止條件。
進行捕獲後,會出現三個欄目:數據包列表欄目,包協議信息欄目,包位元組信息欄目。我們可以通過數據包列表找到想要的某個數據包,滑鼠選中後,在包協議信息欄目分析該包的協議信息,如果想要知道某個位元組的含義則在包位元組信息欄目分析。注意在數據包列表欄目上方有個Filter 輸入框,這里我們可以輸入顯示過濾表達式,過濾掉數據包列表中一些不需要展示的數據包。
3.1.1 從文件導入
數據包已經被抓取並導出到文件,此時我們只需用wireshark導入此捕獲文件即可獲取之前捕獲的數據包。文件的格式有很多種,可以導入tcpmp導出的捕獲文件。有趣的是,也可以導入png,jpg等格式的圖片以及mp4等格式的視頻文件,導入後可以看到圖片和視頻也是一個個數據包組成的,圖片漸近式展示以及視頻不需完全載入就可播放等特性估計跟這有關。
3.1.1 實時抓取
選擇特定介面,點擊start按鈕後,即開始實時抓取。
一般地,介面的數據包數量龐大並且各個包之間的關聯性不強。我們想要得到特定的數據包就必須過濾無關的數據包,從而快速的進行分析。wireshark過濾方式有兩種,第一種是捕獲過濾,這種過濾是捕獲階段進行,它只捕獲未被過濾的數據包,這樣可以減少抓取數據包的數量。第二種是顯示過濾,這種過濾在分析階段進行,它在捕獲的數據包基礎上進行過濾。
3.2.1 捕獲過濾
過濾語法
一般格式: [not] primitive [and|or [not] primitive ...]
primitive 一般由type,dir,proto這三類限定符組成
3.2.2 顯示過濾
過濾語法
一般格式: (過濾欄位 比較操作符 value) 組合表達式 (過濾欄位 比較操作符 value)...
3.3.1 追蹤數據流
將數據包進行關聯,可通過某個數據包即可關聯到該數據包傳輸鏈的所有數據包,比如可以通過一個tcp數據包可關聯到這個tcp會話的所有數據包。
操作:滑鼠點擊數據包列表欄的某個數據包->右鍵->Follow TCP Stream(Follow UDP Stream,Follow SSL Stream)
3.3.2 端點
端點在不同的協議層有不同的含義,在網路層,特定IPv4,IPv6地址為一個端點,在數據運輸層,特定TCP埠,UDP埠為一個端點。端點這個頁面為我們展示每個端點的數據包發送和接收情況。
操作:Statistics->Endpoints
3.3.3 對話
對話頁面展示兩個端點之間的包傳輸情況。端點在不同協議層有不同含義,對話也一樣。在網路層,對話是兩個IP之間進行,在數據傳輸層,對話在兩個埠之間進行。
操作:Statistics->Conversations
3.3.4 流量圖
流量圖使用圖形化展示了數據包的抓取情況。
操作:Statistics->IO Graphs
3.3.5 協議分層
協議分層頁面將抓取到數據包按網路協議進行了分類,我們可以看到每個網路層抓取包的情況。
操作:Statistics->Protocol Hierarchy Statistics
3.3.6 專家信息
wireshark 幫我們分析了數據包情況,通過專家信息頁面提示網路中出現的問題,它將數據包分為4個等級(Error,Warnings,Notes,Chats),從左至右問題嚴重程度依次減少,Chats是正常的數據包。Error表示可能導致問題的數據包。
操作:Analyze->Expert Infos
一般地,如果不設置靜態MAC-->IP對應表,機器都會發送arp請求來獲得其他機器的mac地址。
如此,我們只需要在顯示過濾器輸入 arp 即可獲得apr數據包。捕獲信息見下圖:
wireshark官方文檔