Wireshark(前身為 Ethereal)是一款用于網絡協議分析器的 FOSS(免費和開源軟件)。可以使用它來解決網絡問題,分析 TCP、DNS、HTTP 等通信協議。
有許多功能使 Wireshark 與許多同類産品不同:
實時數據包捕獲和離線分析。人類可讀格式的數據包詳細信息。數據包的着色規則。 在本指南中,我們将學習“如何使用 Wireshark 捕獲和分析數據包”,我們使用 Kali Linux 作為本指南的基本操作系統,讓我們現在開始吧。
使用 Wireshark 抓包 啟動 Wireshark 後,您将看到要從中捕獲數據包的設備列表。
通過雙擊設備名稱來選擇設備以開始捕獲數據包,讓我們在本例中選擇接口“eth01”,正如您在選擇設備後看到的那樣,屏幕上開始出現一些數據包。
在混雜模式下,Wireshark 還會顯示發往我們網絡接口的數據包以外的數據包,此模式默認啟用,否則您可以轉到“捕獲 選項”并标記“在所有接口上啟用混雜模式” 複選框(在窗口底部)。
要停止捕獲流量,請點擊窗口左上角的紅色方形圖标。如果您想稍後檢查您的捕獲,您可以通過單擊“文件 保存”來保存它們,同樣,您可以下載捕獲文件并通過單擊“文件 打開”打開它們進行檢查。找到您的文件并打開它。
Wireshark 的顔色編碼 Wireshark 使用不同的配色方案來表示不同類型的流量,例如,淺藍色用于 UDP,紫色用于 TCP,黑色用于錯誤數據包,要查看含義并修改這些顔色,請轉到“查看 着色規則”。
使用 Wireshark 進行數據包過濾 Wireshark 具有過濾功能,可以過濾掉您感興趣的特定流量,使用此功能的最簡單方法是使用位于數據包列表頂部的搜索欄或描述流量摘要的表格,如下所示。例如,如果您想過濾“TCP”流量,請在搜索欄中輸入 TCP,我們将在本教程後面看到這個過程。
Wireshark 還在“分析 顯示過濾器”部分中包含默認過濾器,您可以從此處選擇一個,也可以在此處保存您的自定義過濾器以供将來使用。
除了過濾流量,您還可以查看客戶端和服務器之間的完整 TCP 對話。為此,右鍵單擊一個數據包并點擊“Follow TCP Stream”選項,當您關閉此窗口時,過濾器搜索欄中将自動出現一個過濾器。
使用 Wireshark 進行數據包檢查 在描述流量摘要的表中,單擊數據包以查看其各種詳細信息,這是創建自定義過濾器的另一種方法。當您右鍵單擊任何詳細信息時,您将看到“應用為過濾器”選項及其子菜單。選擇任何子菜單以創建該過濾器:
Wireshark 試用 現在讓我們舉一個實際示例,使用 Wireshark 捕獲和檢查網絡接口上的流量。在我們的例子中,我們在 Kali Linux 上安裝了 Wireshark,并與以太網接口“eth0”進行交互。現在執行以下步驟:
啟動Wireshark後,從開始頁面的設備列表中選擇接口,單擊左上角的藍色圖标或雙擊接口名稱開始捕獲。現在啟動網絡浏覽器并打開一個網頁,如“ www.howtoforge.com ”。加載頁面後,按開始按鈕附近的紅色圖标停止捕獲。捕獲窗口現在包含從您的系統傳輸到您的系統的所有數據包,不同類型的交通以不同的顔色代碼顯示,如藍色、黑色、淺黃色等。
如果您正在尋找特定協議(如 TCP)的數據包,請使用過濾欄過濾這些連接。在使用網絡訪問并因此與外部網絡交換數據包的系統上運行着許多後台進程,我們可以使用 Wireshark 的過濾功能過濾發往我們系統的數據包。例如,要過濾發往我們系統的 TCP 數據包,請使用過濾器: ip.dst == your_system_ip && tcp
将标簽“your_system_ip”替換為您的系統 IP,在我們的例子中,它是 192.168.18.161,現在讓我們查看這些數據包的内容,右鍵單擊任何數據包,然後從選項列表中轉到:Follow - Follow TCP Stream。新窗口應類似于下圖所示的窗口:
如果您無法使用 Wireshark 進行實時網絡連接,您也可以使用下載的數據包跟蹤文件。
結論 Wireshark 是一個非常重要的工具,用于分析網絡中正在發生的事情,它得到了政府機構、商業組織和教育機構等各種IT部門的廣泛認可,在解決網絡問題時,數據包檢查是非常關鍵的一步,而 Wireshark 在這裡起着至關重要的作用,它已成為分析網絡流量的行業标準。
,
更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!