wireshark

实验二 网络嗅探与欺骗 学生姓名 汪升声 年级 2015 区队 一区队 指导教师 高见老师 信息技术与网络安全学院 实验任务总纲 2018—2019 学年 第 一 学期 一、实验目的 1．加深并消化本课程授课内容，复习所学过的互联网搜索技巧、方法和技术； 2．了解并熟悉常用的网络嗅探方式，掌握常用抓包软件的使用方法和过滤技巧，能够对给定的数据包分析网络基本行为；掌握ARP欺骗的基本原理，以及基于ARP欺骗的DNS攻击方式； 3．达到巩固课程知识和实际应用的目的。 二、实验要求 1．认真阅读每个实验内容，需要截图的题目，需清晰截图并对截图进行标注和说明。 2．文档要求结构清晰，图文表达准确，标注规范。推理内容客观、合理、逻辑性强。 3．软件工具可使用office2003或2007、CAIN、Wireshark等。 4．实验结束后，保留电子文档。 三、实验步骤 1．准备 提前做好实验准备，实验前应把详细了解实验目的、实验要求和实验内容，熟悉并准备好实验用的软件工具，按照实验内容和要求提前做好实验内容的准备。 2．实验环境 描述实验所使用的硬件和软件环境（包括各种软件工具）； 开机并启动软件office2003或2007、浏览器、Wireshark、CAIN。 工具下载地址： CAIN https://pan.baidu.com/s/19qDb7xbj1L_2QnoPm71KzA

如果我们再一个表单中放了一个text的input 还放了一个file的input进行文件上传，此时用wireshark抓到的包应该是什么样子的呢 html代码 < form action ="/upload/json" method ="post" enctype ="multipart/form-data" > < input type ="file" name ="file1" /> < input name ="filename_test_key" value ="test_value" /> < button type ="submit" > 提交 </ button > </ form > wireshark包 follow http stream 我用上面的代码上传了一个名字为test.txt 内容是abc123的文件。 很清晰的说明了字段的对应关系 来源： https://www.cnblogs.com/simoncook/p/6921203.html

1.选择网卡。 因为wireshark是基于网卡进行抓包的，所以这时候我们必须选取一个网卡进行抓包。选择网卡一般有三种方式 （1）第一种 当我们刚打开软件是会自动提醒您选择，例如： （2）第二种 这时候大家根据自己的需求选择一个网卡就行了，还有一种是进入软件后想要切换，该怎么办呢？ 依次选择“编辑”==>“首选项”==>"捕获"菜单，就可以选择自己要操作的网卡了 （3）第三种 点击 "捕获" ==> "选项"菜单，即可选取自己需要的接口 2.开始/停止抓包 即最左上角的蓝色和红色按钮即开始/停止抓包 3.栏目详解 （1）第一栏为标题栏 （1）第二层为主菜单栏 （2）第三层为工具/快捷操作栏 （3）第四层为过滤栏 （4）第五层为数据包列表区 （5）第六层为解包栏（针对某个包的详细） （6）第七层为详细字节数据 （7）第八层为全局统计 来源： CSDN 作者： IT-蓝月 链接： https://blog.csdn.net/ITlanyue/article/details/104017206

中国人民公安大学 Chinese people ’ public security university 网络对抗技术 实验报告 实验二 网络嗅探与欺骗 学生姓名 王伟峰 年级 2015 区队 15网安三区 指导教师 高见 信息技术与网络安全 学院 2018 年9 月26 日 实验任务总纲 20 18 —20 19 学年 第 一 学期 一、实验目的 1．加深并消化本课程授课内容，复习所学过的互联网搜索技巧、方法和技术； 2．了解并熟悉常用的网络嗅探方式，掌握常用抓包软件的使用方法和过滤技巧，能够对给定的数据包分析网络基本行为；掌握ARP欺骗的基本原理，以及基于ARP欺骗的DNS攻击方式； 3．达到巩固课程知识和实际应用的目的。 二、实验要求 1．认真阅读每个实验内容，需要截图的题目，需清晰截图并对截图进行标注和说明。 2．文档要求结构清晰，图文表达准确，标注规范。推理内容客观、合理、逻辑性强。 3．软件工具可使用office2003或2007、CAIN、Wireshark等。 4．实验结束后，保留电子文档。 三 、实验步骤 1．准备 提前做好实验准备，实验前应把详细了解实验目的、实验要求和实验内容，熟悉并准备好实验用的软件工具，按照实验内容和要求提前做好实验内容的准备。 2．实验环境 描述实验所使用的硬件和软件环境（包括各种软件工具）； 开机并启动软件office2003或2007

有时候对PCAP包进行分析，会遇到内存不足打不开较大的PCAP，那么有两种方法解决这个问题，一个是写程序对PCAP进行过滤或者截取；另一个是使用Wireshark自带的函数进行PCAP切割，本篇选择使用Wireshark自带函数对PCAP进行切割。 wireshark自带两个工具，一个是editcap，可以用来切割pcap文件，另一个是mergecap,可以用来合并pcap文件。这两个工具都在wireshark的安装目录里。 1、切割pcap文件 editcap -c 10000 路径\src.pcap 路径\dest.pcap 参数说明：10000是切割后的pcap文件中每个文件中所包含的包的个数，路径\src.pcap是要被切割的pcap文件，路径\dest.pcap指定切割后的pcap文件的路径和文件名，会自动加编号。 2、合并pcap文件 mergecap -w destfile sourcefile1 sourcefile2 注意：工具执行是在cmd命令行模式中，有两种执行方式，一种是进行到wireshark的安装目录中，执行相应的工具；另一种方式是工具所在的路径添加到PATH环境中 来源： CSDN 作者： FY_2018 链接： https://blog.csdn.net/FY_2018/article/details/103962293

今天刚刚接触wireshark，记录一下使用wireshark的基础流程。 一、安装 这是下载wireshark的官方网站。 可以从这里选择自己需要的版本下载。 这里是安装教程。 二、操作页面 这是基本的操作页面内容。 三、设计数据抓取选项 点击常用按钮中的设置按钮，就会弹出设置选项对话框。在这个对话框中我们可以选中需要监听的接口，设置混杂模式，设置抓取数据包的过滤条件。首先，选中需要监听获取数据包的接口。接口列表区列出了所有可以使用的接口。如果接口前面的复选框被选中，说明对这个接口监听捕获数据包。 四、使用显示过滤器 显示过滤器应用于捕获文件，用来告诉wireshark只显示那些符合过滤条件的数据包。显示过滤器比捕获过滤器更常用。他可以用来过滤不想看到的数据包，但是不会把数据删除。如果想恢复原状，只要把过滤条件删除即可。 过滤器表达式对话框，是的wireshark的可以很简单的设置过滤表达式。如图 这是wires的一些最基本的安装和操作。 来源： CSDN 作者： luhao31415 链接： https://blog.csdn.net/luhao31415/article/details/103995117

概念扫盲 首先，先说下TLS是什么？ TLS是SSL协议的具体实现，SSL是一个规范，TLS是安装SSL规范实现的。后面都说SSL/TLS SSL/TLS位于应用层和传输层之间，应用层还是可以用http、telnet等应用层协议，只是应用层的数据不是直接交给tcp，而是由tls管理，tls在头部增加安全数据然后交给tcp。 （图来自 https://www.cnblogs.com/lv6965/p/7859925.html ） 详细过程 1. 浏览器/客户端给出协议版本号、客户端生成的随机数（Client random），以及客户端支持的加密方法。 2. 服务端确认双方使用的加密方法，使用的tls版本号没有问题，生产一个随机数发给客户端。 3. 数字证书、以及一个服务器运行Diffie-Hellman算法生成的公钥pubkey。 4. 浏览器/客户端获取服务器发来的pubkey，计算出另一个pubkey，发给服务器。 5. 服务器发给浏览器一个session ticket。 使用Wireshark抓包上面的过程 第一步， 看最后的Transport Layer Security，tls协议，可以看到有生成的随机数，协议版本，支持的加密算法，Cipher 展开如下 第二步， 服务端发生server hello给客户端，信息有版本信息，随机数，服务端采用的加密算法。 第三步，