Wireshark介绍
Wireshark也成为协议分析软件,是免费、通用、强大的抓包软件之一。Wireshark作为一款好用的开源网络包分析器,能在多种平台(Windows、Linux、Mac)抓取和分析网络包,对网络数据包进行细致入微地分析,显示出数据包的详细内容,从而帮助技术人员分析网络级别的估值,判断这些信息是否满足用户的需求,并在优化网络性能方面有发挥重要作用。同时,使用Wireshark工具帮助学习和分析常见的网络协议。
Wireshark有图形界面,也有命令行形式Tshark。
使用
1、运行安装好的Wireshark,认识主界面,从上到下分为:标题栏、菜单栏、工具栏(开始捕获、停止捕获、重新捕获、捕获接口选项、保存捕获文件,导出/打开/加载捕获文件、放大/缩小/还原分组显示等)、(显示)过滤器栏、数据包列表区、数据包解析细节区、数据包字节区(显示十六进制字节和对应ASCII码)、状态栏(显示抓包总数)。
2、有疑问随时查找 菜单栏–>帮助
3、Tshark命令有多个可选项,无选项时作用类同Linux中的 tcpdump命令
4、查看数据包列表区的色彩标识:菜单栏–>视图–>着色规则
5、查看Wireshark捕获过滤器支持的协议列表,过滤器表达式使用的部分memership:菜单栏–>视图–>内部–>support protocal。
6、主界面中数据包列表区选中一条数据包–>右键菜单–>跟踪流–>xx流,将显示在服务器和目标端之间的全部会话,关闭窗口之后,会发现过滤条件自动被引用了——Wireshark显示构成会话的报文。
7、Wireshark能抓到的包及抓包环境:1、穿越网络以装有Wireshark的这台设备作为最终目的地的数据包;2、装有Npcap捕获软件,可抓取Windows平台本机的回环数据包;3、计算机装有Wireshark并启动杂合模式,交换机支持配置端口镜像技术(或管理员通过插拔设备方式),使装有协议分析软件的计算机和目标PC处于同一个广播域中,能抓取所有去往这台目标PC以及所有从这台目标PC发出来的数据包。
实践
听了学长的讲解,迫不及待的开始做一道题练练手,打开南邮ctf,找到了一个misc题,需要用wireshark抓包分析,于是
半小时过后不得其解,搜了下题解。。。。
看不太懂,晚上回去琢磨琢磨。。。。。。。。
来源:CSDN
作者:慕剑璃
链接:https://blog.csdn.net/weixin_43799133/article/details/103991582