Wireshark抓包分析

（仅作为个人笔记，如有雷同，请联系删除。。）

下载：https://www.wireshark.org/#download

1、设置时间格式：视图–>时间显示格式

2、设置解析：视图–>Name Resolution，可以直接将mac地址、ip地址转换为易懂的emmmm名字

3、数据包的处理：

1. 合并数据包：当需要抓多个较大的包时，可能需要将抓到的几个数据包进行合并
2. 打印数据包：将数据包打印成pdf格式，Ctrl+P
3. 导出数据包：可以选择是导出标记的数据包、选择的数据包、全部数据包

4、编辑-首选项：一些全局配置，能进行布局调节，颜色设置，Ctrl+Shift+P

5、抓包选项设置：

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-meB0xlQ9-1649780036561)(images/XonHOUsYJpbgSILwtSXWCtIzUiGZFS-eNGpRZUjntv0.png)]

1. 输入：选择抓包接口。要开启混杂模式：是指也会抓取不属于自己主机的数据包。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ip83rhDz-1649780036562)(images/pkU12bLVEYg6mXwdHOM2q-Fml56rjidpO02x6901LGE.png)]

2. 输出：将抓到的数据包分文件保存。可以设置文件大小，保存为多个文件，还可以设置路径。可以设置每多少秒保存为一个文件，可以设置为每多少个分组保存为一个文件，也可以设置一个目标达成之后停止抓包。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KA4dlXsB-1649780036563)(images/Z_P3lSOvsPSe-C2038_Hux6kZfQpN6FpPnG1Cezb9-w.png)]

3. 选项：抓到的包显示设置。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-paQGweAH-1649780036563)(images/rUmH5lngLq2OCekakSTC9blCH4FFF9y1DZgwW9duN9A.png)]

6、抓包过滤器：在设置了过滤项之后只抓取需要的包

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZxrVYYAy-1649780036564)(images/wZg-Sv1zgWmjwP3CwWql3anh1FSGYU8bxdw6WqwdTUk.png)]

1. 类型type：host、net、port
2. 方向dir：src、dst
3. 协议proto：ether、ip、tcp、udp、http、ftp
4. 逻辑运算符：and、or、not、&&、||、！

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pkHKsqq1-1649780036565)(images/8tdRL4RAz5fUemHafX-FlvrizEcp3zG9PEhCPZ4OloA.png)]

# 举例
# 过滤mac地址（适用于目标主机ip地址、端口号一直在变动）
ether host 8c:78:d7:08:57:10
# 过滤ip地址
src host 192.168.1.101
# 过滤端口号
!src port 80
# 过滤协议：对于那些二三层不常用的协议，直接输入协议名就好
icmp
# 整合：利用与运算符&&或者或运算符||来加强过滤条件的限制
ecp and src host 192.168.1.101 and !src port 80

7、显示过滤器：抓取所有包，之后再根据过滤规则的不同显示需要的包。

语法格式：一条基本的表达式由过滤项、过滤关系、过滤值组成。eg：ip.src == 192.168.1.101

过滤项：协议 + . + 协议字段

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kZxKaDKA-1649780036566)(images/me85wG6D9GcA7G3swhC0VgonFfjqABYpgJf6QMPfOnU.png)]

1. 过滤IP地址：ip.src、ip.dst、ip.addr、eth.addr、eth.type
2. 过滤端口：tcp.port、tcp.srcport、tcp.dstport、tcp.flag.syn
3. 过滤协议：arp、tcp、udp、http
4. 逻辑运算符：and、or、not、&&、||、！、==、in、contains

# 举例
ip.src == 192.168.1.101
ip.dst == 10.90.11.88
ip.src == 192.168.1.101 and ip.dst == 10.90.11.88
tcp.port == 80
tcp.srcport == 80
tcp.dstport == 80
tcp.flag.syn == 1
not http
!udp
ip.src == 192.168.1.101 and tcp.srcport == 80 or ip.dst == 10.90.11.88 and tcp.flag.syn == 1
http.request.method == "POST" # 过滤请求方式
http.request.url contains admin # 过滤要求u rl中包含admin
http.request.code == 404 # 过滤请求状态码

8、数据分析界面：

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-63wWyjUJ-1649780036567)(images/6Uawqdh-mkbKddiA7K7V37aezMNDS4Rm5YWnjxfnliM.png)]

1. 捕获到的所有数据包的列表，注意最后一列info是组织说明列，不一定是该数据包中的原始内容；
2. 选中数据包的分层协议展示，选中某一层，在下面对应的原始数据会高亮显示；
3. 选中数据包的原始数据，其中左侧十六进制表示，右侧ascii码表示；

9、着色规则：视图–>着色规则

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ByQbVwC5-1649780036568)(images/r_nHfuI4Rh5VPXqINgO66KHR4NzIFszydRVNhH-gwC0.png)]

10、数据包的大致结构：

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nQp05J7Z-1649780036569)(images/qBj4CgqcmYiKXC8SwIxV0KDRGYNUBsVzwcNZJNpeEfI.png)]

1. 第一行：数据包整体概述；
2. 第二行：链路层详细信息，主要的是双方的mac地址；
3. 第三行：网络层详细信息，主要的是双方的IP地址；
4. 第四行：传输层的详细信息，主要的是双方的端口号；
5. 第五行：和协议相关，不同的协议展示不同的内容。例如：dns协议，展示域名系统相关信息

11、数据流的追踪：

一个完整的数据流一般都是由很多个包组成的。想要查看某条数据包对于的数据流：选中数据，右键选择追踪流。里面就会有tcp流、udp流、ssl流、http流。数据包属于哪种流就选择对应的流。然后会弹出该流的完整的数据流以及这个数据流中包含的数据包。顶部的过滤器就是该流的过滤规则。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-g6gMFgch-1649780036569)(images/QJBbTVJr9rVHjIoT_xoJOBCdXv-uolz6qA7MpVL02nA.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EC5q97me-1649780036570)(images/ehFws3LmS5y-h7MZtVfVnuQ1HD98FYhg18zk1YSVLC4.png)]

12、专家信息：分析–>专家信息。可以对数据包中特定的状态进行警告说明。

errors[ 错误 ]、warnings[ 警告 ]、notes[ 标记 ]、chats[ 对话 ]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Q2j2tA7y-1649780036571)(images/TP3C_NBBrd8-tJ78iTug4T75FMP3qbMr2GMnZPSTiAg.png)]

13、统计：对抓取的数据包进一步的分析。可以根据数据包的属性、已解析的地址、协议分级、IO graphs(显示抓包文件中的整体流量情况)等等进行统计分析。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9VsnxAfw-1649780036572)(images/ji-XN5VGFHsac8HUSffpMqoMWO6NpBGX6gAN6YGIoac.png)]