wireshark

一、基本概念 　 SSL：（Secure Socket Layer，安全套接字层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。该协议由两层组成：SSL记录协议和SSL握手协议。 TLS：(Transport Layer Security，传输层安全协议)，用于两个应用程序之间提供保密性和数据完整性。该协议由两层组成：TLS记录协议和TLS握手协议。 SSL/TLS位于传输层和应用层之间，应用层数据不再直接传递给传输层，而是传递给SSL层，SSL层对从应用层收到的数据进行加密，并增加自己的SSL头。 1、不使用SSL/TLS的HTTP通信，就是不加密的通信。所有信息明文传播，带来了三大风险。 （1） 窃听风险（eavesdropping）：第三方可以获知通信内容。 （2） 篡改风险（tampering）：第三方可以修改通信内容。 （3） 冒充风险（pretending）：第三方可以冒充他人身份参与通信。 2、SSL/TLS协议是为了解决这三大风险而设计的，希望达到： （1） 所有信息都是加密传播，第三方无法窃听。 （2） 具有校验机制，一旦被篡改，通信双方会立刻发现。 （3） 配备身份证书，防止身份被冒充。 3、SSL/TLS协议的基本过程是这样的： （1）

我在工作这些年中，陆陆续续接触到一些毕业生和很多的新手。在分析报文数据我发现很多人对于一些基本概念并不是特别的明确，尽管他们都有计算机网络的基础，甚至已经学习完TCP/IP卷一的内容。但是理论的学习和实际的操作还存在一些差距，尤其是一些wireshark和实际的项目工程中提供的概念很多人并不是很明确，因此有必要我这里面单独列出该章节进行说明，作为我的专栏《wireshark从入门到精通》中的其中一篇。 1，wireshark软件和报文数据之间的关系 我觉得wireshark可以对应的理解为数据库管理软件，如mysql等。而pcap文件可以理解为一个具体的数据库，pcap文件的格式我在前面有单独章节的讲解，其实就是一种文件结构并且能够被wireshark所解析，像.sql文件能够被mysql解析一样。而报文文件中的流（无法构成流的可以理解为对话）可以对应的理解为数据库中的表，有多少条流就对应着多少个数据表（流的概念会面会详细说）。一条流中的报文对应着数据表每一行的内容，wireshark所提供的协议字段解析可以理解为数据表的列属性。总的来说一个pcap文件包含多条流，每条流包含多片数据报文，每个数据报文包含许多字段内容。 2，什么是流 流是通常传输层的概念（这里所说的流是wireshark提供的stream，由于像QUIC等协议中也有stream的概念，我们不做讨论）

捕获数据技巧 在使用过滤器的时候wireshark是有自动补全功能的 根据单个IP地址过滤数据包 host 10.10.0.1：捕获目的地址和源地址为10.10.0.1的数据 host IPv6 ：捕获IPv6地址的数据 not host IP ：捕获除IP之外的数据 src host IP ：捕获来自IP的数据 dst host IP ：捕获到达IP的数据 host IP1 or host IP2 ：捕获两个IP的数据 host www.xxx.com ：捕获解析www.xxx.com的IP地址上的数据 根据广播和多播地址过滤数据 ip broadcast ：捕获到255.255.255.255的数据 ip multicast ：捕获通过224.0.0.0~239.255.255.255的数据 dst host ff02::1 ：捕获所有主机到IPv6多播地址的数据 dst host ff02::2 ：捕获所有路由到IPv6多播地址的数据 根据MAC地址过滤数据 ether host MAC地址1 ：捕获MAC地址1的数据 ether src MAC地址2：捕获来自MAC地址2的数据 ether dst MAC地址3：捕获来自MAC地址3的数据 not ether host MAC地址4：捕获除MAC地址4以外的数据 根据端口号过滤A数据 port 80

中国人民公安大学 Chinese people ’ public security university 网络对抗技术 实验报告 实验二 网络嗅探与欺骗 学生姓名 李偲宇 年级 2017级 区队 网安六区 指导教师 高见 信息技术与网络安全 学院 201 6 年 11 月 7 日 实验任务总纲 20 1 9 —2020 学年 第 一 学期 一、实验目的 1．加深并消化本课程授课内容，复习所学过的互联网搜索技巧、方法和技术； 2．了解并熟悉常用的网络嗅探方式，掌握常用抓包软件的使用方法和过滤技巧，能够对给定的数据包分析网络基本行为；掌握ARP欺骗的基本原理，以及基于ARP欺骗的DNS攻击方式； 3．达到巩固课程知识和实际应用的目的。 二、实验要求 1．认真阅读每个实验内容，需要截图的题目，需清晰截图并对截图进行标注和说明。 2．文档要求结构清晰，图文表达准确，标注规范。推理内容客观、合理、逻辑性强。 3．软件工具可使用office2003或2007、CAIN、Wireshark等。 4．实验结束后，保留电子文档。 三 、实验步骤 1．准备 提前做好实验准备，实验前应把详细了解实验目的、实验要求和实验内容，熟悉并准备好实验用的软件工具，按照实验内容和要求提前做好实验内容的准备。 2．实验环境 描述实验所使用的硬件和软件环境（包括各种软件工具）；

在渗透测试过程中，必不可少的操作就是使用BurpSuite、Fildder等抓包工具对应用程序的数据包进行拦截、观察和篡改。那么问题来了——对于使用HTTPS协议的站点，在BurpSuite中拦截到的数据包为何也是“明文传输”？如下图所示。 从大神那里获得解答： （1） BurpSuite能抓到HTTPS协议的“明文数据”是因为BurpSuite在本地浏览器安装了自己的证书，作为中间人的它分别建立起了“客户端->代理服务器”、“代理服务器->服务端”两段HTTPS通道，BurpSuite获得Client消息后先解密后再重新加密，然后代替客户端发给服务端，这个过程中BurpSuite自然能获得明文。 （2） 但是如果使用WireShare来单纯监听、嗅探HTTPS协议的数据包的话，我们就会看到TCP携带的Data都是密文，是无法拿到明文数据的。 WireShark抓包 接下来当然是使用WireShare监听数据并观察分析下，先简单说下WireShare的基本使用。 首先开启WireShark并配置受监听的网卡： 选择正在使用的网卡，双击WLAN开始监听： 电脑中开启浏览器或其他应用的时候都会有流量产生，有流量产生就会被WireShark捕捉到。上图为刚刚开启WireShark后的捕捉状态，会抓到大量各种各样的流量，稍后我们会进行过滤操作。 HTTP站点

一 tcpdump抓包命令 tcpdump 选项 过滤条件 选项 作用 -i 指定监控的网络接口 -A 转换为ACSII码,以方便阅读 -w 将数据包信息保存到指定文件 -r 从指定文件读取数据包信息 -c 定义抓包个数 tcpdump的过滤条件 类型: host net port portrange 方向: src dst 协议: tcp udp ip wlan arp 多个条件组合: and or not 二 wireshark协议分析器 一款与tcpdump类似的抓包工具,需要图形环境 官网是http://www.wireshark.org/ 1 安装软件包 yum -y install wireshark yum -y install wireshark-gnome 命令行键入wireshark进入软件 来源： CSDN 作者： 你的男孩TT 链接： https://blog.csdn.net/wangteng19931203/article/details/103716176

1. linux在ubuntu与windows下的安装都不复杂。在此不再多说 2. Wireshark时最常见的问题，是当您使用默认设置时，会得到大量冗余信息，以至于很难找到自己需要的部分。 这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。 - - 捕捉过滤器：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 显示过滤器：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。 那么我应该使用哪一种过滤器呢？ 两种过滤器的目的是不同的。 捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。 显示过滤器是一种更为强大（复杂）的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。 两种过滤器使用的语法是完全不同的。我们将在接下来的几页中对它们进行介绍： 1. 捕捉过滤器 捕捉过滤器的语法与其它使用Lipcap（Linux）或者Winpcap（Windows）库开发的软件一样，比如著名的 TCPdump 。捕捉过滤器必须在开始捕捉前设置完毕，这 一点跟显示过滤器是不同的。 设置捕捉过滤器的步骤是： - 选择 capture -> options。 - 填写"capture filter"栏或者点击"capture filter"按钮为您的过滤器起一个名字并保存