Wireshark是网络工程师和渗透测试人员使用最广泛的一款开源抓包工具。常用来检测网络问题、攻击溯源、或者分析底层通信机制。通过本文,让你学会如何使用它!
安装与启动
Wireshark的安装很简单,支持款平台。在windows中,我们只需双击安装包进行安装。在Linux中,我们可以通过apt命令进行安装。(认准官网地址:https://www.wireshark.org/)
界面介绍
wireshark大体可分为五个区域,分别如下所示。
快捷功能栏分别对应
最常用操作
抓包与停止
选择网卡后,默认自动抓包。
我们可以选择红色的小按钮停止抓包。
保存包
点击右上角的文件,选择保存,可以保存抓包的数据。包的数据格式常见格式是pcap
调整界面大小
工具栏中的三个放大镜图标,可以调整主界面数据的大小。从左到右依次是:放大、缩小、还原默认大小。
过滤器操作
过滤器是Wireshark的核心功能,也是我们平时使用最多的一个功能。Wireshark提供了两个过滤器:抓包过滤器 和 显示过滤器。两个过滤器的过滤思路不同。
-
抓包过滤器:重点在动作,需要的包我才抓,不需要的我就不抓。 -
显示过滤器:重点在数据的展示,包已经抓了,只是不显示出来。
抓包过滤器
使用抓包过滤器时,需要先停止抓包,设置完过滤规则后,再开始抓包。停止抓包的前提下,点击工具栏的捕获按钮,点击选项。
在弹出的捕获选项界面,最下方的输入框中输入过滤语句,点击开始即可抓包。如,我们只想要tcp数据包。
显示过滤器
显示过滤器在抓包后或者抓包的过程中使用。在过滤栏输入过滤语句,修改后立即生效。
对于过滤规则,我在前面的文章中曾写过,请移步文章《WireShark从入门到放弃》
大黑阔必学技
获取提交的密码
过滤HTTP
只显示GET请求的数据的数据包
http.request.method == "GET"
只显示gost请求的数据的数据包
http.request.method == "GOST"
数据流跟踪
在某个http数据包或tcp数据包中右键选择追踪流,可以将HTTP流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。
根据数据包类型的不同,这里的选项也有所差异。因为我这里选择的是TCP协议。所以右键追踪流的时候,只能选择TCP流
导出某个数据包文件
选中我们要保存的数据包。之后在数据包被格式化之后的栏中找到Portable Network Graphics。取首字母的话也就是PNG。其他文件类型于此相似。都是取首字母。右键之后。点击显示分组字节。
效果
更多精彩文章 欢迎关注我们
原文始发于微信公众号(kali黑客笔记):Wireshark 学习 一篇文章就行
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/152120.html
