如何使用wireshark捕獲、過濾和檢查資料包
Wireshark是一種以前稱為Ethereal的網路分析工具,它實時捕獲資料包並以人類可讀的格式顯示它們。Wireshark包含過濾器、顏色編碼和其他功能,可以讓您深入挖掘網路流量並檢查單個數據包。
本教程將幫助您快速掌握捕獲資料包、過濾資料包和檢查資料包的基本知識。您可以使用Wireshark檢查可疑程式的網路流量、分析網路上的流量或解決網路問題。
獲取wireshark
您可以從Wireshark的官方網站下載Wireshark for Windows或macOS。如果您使用的是Linux或其他類似UNIX的系統,您可能會在Wireshark的軟體包儲存庫中找到Wireshark。例如,如果你使用的是Ubuntu,你會在Ubuntu軟體中心找到Wireshark。
只是一個簡短的警告:許多組織不允許Wireshark和類似的工具出現在他們的網路上。未經許可,請勿在工作中使用此工具。
捕獲資料包
下載並安裝Wireshark後,可以啟動它並雙擊“捕獲”下的網路介面名稱,開始捕獲該介面上的資料包。例如,如果要捕獲無線網路上的流量,請單擊無線介面。您可以透過單擊“捕獲”>“選項”來配置高階功能,但現在不需要這樣做。
只要單擊介面的名稱,就會看到資料包開始實時顯示。Wireshark捕獲傳送到系統或從系統傳送的每個資料包。
如果啟用了混雜模式,預設情況下啟用了它,您還將看到網路上的所有其他資料包,而不是僅看到指向網路介面卡的資料包。要檢查是否啟用了混雜模式,請單擊Capture>Opti***,並驗證此視窗底部激活了“啟用所有介面上的混雜模式”複選框。
當您要停止捕獲流量時,請單擊視窗左上角附近的紅色“停止”按鈕。
顏色編碼
您可能會看到以各種不同顏色突出顯示的資料包。Wireshark使用顏色幫助您一眼識別流量型別。預設情況下,淺紫色表示TCP通訊量,淺藍色表示UDP通訊量,黑色表示有錯誤的資料包。例如,這些資料包可能是無序傳遞的。
要檢視顏色程式碼的確切含義,請單擊“檢視”>“著色規則”。如果您願意,也可以從這裡自定義和修改著色規則。
樣本捕獲
如果你自己的網路上沒有什麼有趣的東西可以檢查,Wireshark的wiki已經涵蓋了你。wiki包含一頁示例捕獲檔案,您可以載入和檢查這些檔案。單擊“檔案”>;“在Wireshark中開啟”,然後瀏覽下載的檔案以開啟一個檔案。
您還可以將自己的捕獲儲存在Wireshark中,稍後再開啟它們。單擊檔案>儲存儲存捕獲的資料包。
過濾資料包
如果您試圖檢查某些特定的內容,例如程式在打電話回家時傳送的通訊量,那麼關閉所有其他使用網路的應用程式將有助於縮小通訊量。不過,您可能還有大量的資料包要篩選。這就是Wireshark過濾器的用武之地。
應用過濾器的最基本方法是將其輸入視窗頂部的過濾器框中,然後單擊“應用”(或按Enter鍵)。例如,鍵入“dns”,您將只看到dns包。當你開始打字時,Wireshark將幫助你自動完成你的過濾器。
也可以單擊“分析”>“顯示過濾器”從Wireshark中包含的預設過濾器中選擇一個過濾器。從這裡,您可以新增自己的自定義過濾器並儲存它們,以便將來輕鬆訪問它們。
有關Wireshark顯示過濾語言的更多資訊,請閱讀Wireshark官方文件中的“構建顯示過濾表示式”頁面。
您可以做的另一件有趣的事情是右鍵單擊資料包並選擇Follow>TCP Stream。
您將看到客戶機和伺服器之間的完整TCP會話。您也可以單擊“跟隨”選單中的“其他協議”,檢視其他協議的完整對話(如果適用)。
關閉視窗,您會發現過濾器已自動應用。Wireshark正在向您展示構成對話的資料包。
檢查資料包
點選一個包來選擇它,你可以向下挖掘來檢視它的詳細資訊。
您也可以從這裡建立過濾器-只需右鍵單擊其中一個詳細資訊,然後使用“應用為過濾器”子選單建立基於它的過濾器。
Wireshark是一個非常強大的工具,本教程只是簡單介紹一下如何使用它。專業人員使用它來除錯網路協議實現,檢查安全問題和檢查網路協議內部。
您可以在官方Wireshark使用者指南和Wireshark網站上的其他文件頁面中找到更多詳細資訊。
- 發表於 2021-04-07 16:40
- 閱讀 ( 37 )
- 分類:網際網路
你可能感興趣的文章
凝膠過濾(gel filtration)和凝膠滲透色譜法(gel permeation chromatography)的區別
...是說,有時我們可以根據分子量來分離分子。通常,我們使用這些技術來分離複雜分子,如蛋白質,並在工業規模上分離聚合物材料。凝膠過濾和凝膠滲透色譜的主要區別在於我們在每種技術中使用的流動相。 目錄 1. 概述和主...
你沒有使用的7個優秀的開源安全應用程式
... Wireshark是一個網路協議分析器。它非常流行,已經成為成千上萬機構的標準協議分析器,包括**機構、學校和商業企業。 ...
解決網路問題的7個最佳工具
... Wireshark是最常用的網路分析工具之一。它的力量來自於向你展示你網路上的每一點流量——如果你不把它過濾下來只看到你需要的東西,它會讓你不知所措。 ...
你對instagram新的面部過濾器一無所知
... 如何訪問面部過濾器? ...
駭客利用公共wi-fi竊取你身份的5種方法
... 裝置透過未加密的網路傳輸資料包,然後可以被Wireshark等自由軟體讀取。沒錯,這是免費的。上網看看,你甚至會看到“如何”指南,教你如何使用Wireshark。為什麼?因為它是一個分析網路流量的便捷工具,諷刺的是,...
6個免費的雜湊檢查程式來檢查任何檔案的完整性
... 下面是如何使用PowerShell檢查檔案雜湊。 ...
醫療物聯網:危險、風險和安全問題
... Harit使用Wireshark(許多開源網路安全工具之一)檢查資料包,檢視患者資料,如藥物劑量、醫務人員、姓名、位置和路線。令人驚訝的是,他甚至能夠訪問主藥物清單,其中設定和...
什麼是路由器和如何使用路由器:初學者的常見問題解答
... 如何使用路由器 ...
在linux上使用brim轉換wireshark工作流
Wireshark是分析網路流量的事實標準。不幸的是,隨著資料包捕獲的增長,它確實變得越來越滯後。Brim很好地解決了這個問題,它將改變Wireshark的工作流程。 wireshark很棒,但是。 Wireshark是一個很棒的開源軟體。它被世界各地的...
如何在linux上使用wireshark過濾器
Wireshark是在Linux、Windows和macOS上提供的世界級資料包分析器。它的過濾器是靈活和複雜的,但有時,違反直覺。我們會解釋你需要注意的“問題”。 實位元資料包分析 Wireshark是開源世界的瑰寶之一。它是一個世界級的軟體工具...
