使用Wireshark工具分析网络协议
上一章,我们了解了整个网络协议的七层和四层模型。从本章开始,我们将正式进入到网络协议的学习当中,如果只是单纯地讲解理论知识,这将非常抽象,因此,学习网络协议最好的方式就是借助工具,而在网络协议抓包领域最好的工具就是Wireshark。在正式接触网络协议之前,我们应先学习Wireshark的使用以及如何通过Wireshark抓取协议包,在后面的具体的网络协议学习,Wireshark将始终陪伴着我们。
0x00 Wireshark简介
Wireshark是一个网络封包分析软件。网络封包分析软件的功能是抓取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Wireshark的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Wireshark是全世界最广泛的网络封包分析软件之一。
0x01 Wireshark的安装
Wireshark的安装非常简单。
首先,下载Wireshark的安装包,下载地址: https://pan.baidu.com/s/18ttyXxYOfA-pZ5_VL-AFZA 提取码: aj5a,如图
最后,点击Finish按钮,重启电脑,重启完成后即可完成Wireshark的安装。
0x02 抓取第一个网络协议
Wireshark安装完成后,我们双击Wireshark图标,打开Wireshark。
如何查看当前网络是哪张网卡呢?
可打开CMD命令行终端,输入ipconfig命令:
图8 如果电脑安装了虚拟机的话,会看到很多VMware的虚拟网卡,一把情况下除此之外类似无线局域网适配器等,IP地址又是192.168开头的就是当前网络连接对应的网卡。
0x03 Wireshark高级玩法
上一小节,我们简单抓取了一些网络协议,而Wireshark能成为全球最流行协议分析工具软件,其功能远远不止这些,它提供了一些高级玩法,方便网络和运维工程师们分析流量,发现网络中存在的异常。本小节,我们也来玩一玩其高级玩法。
首先,协议主界面包含了三个部分,分别是数据列表区、数据详细区和数据字节区,如图所示:
- 数据列表区
该区域以一个表格的形式实时展示当前抓取的网络协议,接下来,我以一张表格的形式来简要介绍这些字段。
字段 | 说明 | 描述 |
---|---|---|
No. | 序号 | 递增序列,从1开始,每抓取一个协议包,序号加1 |
Time | 时间 | 当前抓取协议的时间 |
Source | 源 | 当前协议的源IP,即从何处发起的 |
Destination | 目的 | 当前协议的目的IP,即发往何处 |
Protocol | 协议 | 当前协议包最上层协议 |
Length | 长度 | 当前协议包的大小 |
Info | 信息 | 当前协议包的描述 |
- 数据详细区
该区域详细展示了从最上层协议开始,到底层物理层所有经过的协议,每个协议的头和数据部分均有详细说明。 - 数据字节区
由于计算机是通过二进制来进入数据传输的,该区域展示了每个协议的二进制或十六进制,它和数据详细区一一对应,点击数据详细区的不同协议,数据字节区的二进制会相应改变。
在后续的学习中,你除了对数据列表区和数据详细区有深刻的理解,还应对数据字节区非常敏感,如提供一段二进制或十六进制数,读者能马上分析出其对应的协议号、源目IP等信息。
介绍完了Wireshark的三大区域,我们正式进入其高级玩法的队列中。
0x00 协议过滤
因为电脑网卡随时会发送数据包,协议可能会非常的多,不便于我们分析协议,因此需要对协议进行过滤。在Wireshark工具栏的下方,有一个名叫“应用显示过滤器”的输入框,我们可以输入协议号,来显示我们想要的协议。例如,我们只看包含TCP的协议。
0x01 协议追踪
有些时候,我们在分析一个协议时,通过三大区域可能不能只管发现其内部细节,这时就需要协议追踪功能,便于我们查看其内部细节,如我们在分析HTTP协议时,其请求头、请求参数、响应数据在三大区域不是很方便查看,这时可以用协议追踪功能。
具体操作如下:
通过上节介绍的协议过滤功能,找到HTTP协议,在数据列表区的HTTP协议那一行右击,依次点击追踪流->TCP流,可看到以下界面:
0x02 协议过滤高级语法
其实,在使用协议追踪功能的时候,细心的你可能就会发现,在“应用显示过滤器”输入框出现一个看不懂的内容,那就是协议过滤的语法,我们使用协议追踪就是Wireshark自动帮我们填充好了过滤语法。
本节,我们将继续接触其他更加好玩的语法。
“应用显示过滤器”的语法格式为:协议号.属性[.属性…] 表达式(如:==代表等于,> 代表大于等),如:
我们要过滤出包含IP协议中IP地址为192.168.101.1的协议列表,可以输入:“ip.addr == 192.168.101.1”。
当然,每个协议所包含的属性非常多,我们不可能都记住。但是,人性化的Wireshark给我们提供了自动补全功能,当输入一个协议号+“.”时,会自动弹出提示,方便我们查阅,只要知道基本的语法规则即可,如图所示:
0x03 协议保存
Wireshark还提供了协议表内容的保存功能,后缀为.pcapng,我们在保存后,下次可以双击后缀为.pcapng的文件继续分析协议。
其保存方法也非常简单,只需要依次点击文件->另存为即可。
想学习更多网络安全的知识,可以关注公众号“SCLM安全团队”。
更多推荐
所有评论(0)