Предисловие

Wireshark — это бесплатный инструмент анализа сетевых протоколов с открытым исходным кодом. Он захватывает сетевые пакеты и обеспечивает подробный анализ протоколов и возможности мониторинга сетевого трафика.

1. Что такое Wireshark?

Введение

Wireshark — это бесплатный инструмент анализа сетевых протоколов с открытым исходным кодом. Он захватывает сетевые пакеты и обеспечивает подробный анализ протоколов и возможности мониторинга сетевого трафика.WiresharkМожеткдля анализа и решениясеть Вина、Отладка、Обнаружениесетьвопросы безопасности и т. д.。Он поддерживает несколько операционных систем,Включает Windows, Mac и Linux,И предоставляет пользователям графический интерфейс и интерфейс командной строки. Wireshark — один из инструментов, обычно используемых сетевыми инженерами и экспертами по безопасности.

2. Загрузите Wireshark

Процесс загрузки

Открыть первымОфициальный сайт Wireshark——wireshark

Нажмите «Загрузить Wireshark».

Загрузите в соответствии с конфигурацией вашего компьютера.

Загрузка дисплея завершена

Проверьте конфигурацию вашего компьютера

3. Установите Wireshark

Процесс установки

Дважды щелкните загруженный файл, появится следующий экран, нажмите «Все равно установить».

Нажмите «Далее»

Нажмите отмечено

Нажмите «Далее»

Установка компонентов

Выберите компоненты установки в соответствии с вашими потребностями.

Создать ярлык

Создать ярлык

• Первый — создать пункт меню «Пуск».
• Второй — создать значок на рабочем столе.
• Третий — обратиться к имени расширения, то есть по умолчанию открыть следующее имя расширения с помощью Wireshark.

Выбираем место установки, стараемся не выбирать диск С

winPacp

Установите winPacp (установка по умолчанию)

Установите USB в соответствии с вашими потребностями

Npcap

Нажмите «Я согласен»

Выберите в соответствии с вашими потребностями

• Первый — ограничить доступ к Npcap только администраторам.
• Второе — поддержка оригинальной связи беспроводного адаптера 802.11 (и режима мониторинга).
• Третий — установка в режиме совместимости WinPcap API.

Нажмите «Далее»иfinish

открытая проверка

Тогда мы сможем увидеть это на рабочем столе.

Щелкните правой кнопкой мыши администратора, чтобы открыть его, или дважды щелкните, чтобы открыть его. При двойном щелчке мыши может появиться всплывающее окно. Просто нажмите «Да».

4. Используйте Wireshark для захвата пакетов

захватывать пакеты

Установлено Wireshark После этого вы можете запустить его, чтобы захватывать. пакеты. Вот как:

Сначала откройте Wireshark, как показано ниже. Wireshark На основном интерфейсе показаны доступные на данный момент интерфейсы, например Ethernet 2, подключение по локальной сети. 9 ждать。хочузахватывать пакетов, вы должны выбрать интерфейс, что означает захват пакета данных на этом интерфейсе.

Выберите захват пакетов на интерфейсе «WLAN» и нажмите кнопку «Начать захват пакетов» в левом верхнем углу, чтобы захватить сетевые данные.

Начать захват и прекратить захват

Данные интерфейса «WLAN» будут перехвачены Wireshark, а захваченные пакеты будут такими, как показано на рисунке. Wireshark всегда будет собирать данные по «локальному соединению». Если вам больше не нужно захватывать, вы можете нажать кнопку «Остановить группу захвата» в левом верхнем углу, чтобы остановить захват.

Вставьте сюда описание изображения

5. Использование фильтров отображения на основе Wireshark

Введение

По умолчанию Wireshark захватывает все данные на указанном интерфейсе и отображает их все, что затрудняет поиск той части пакетов, которую вы хотите проанализировать, при анализе этих пакетов. В это время вы можете использовать фильтры отображения для быстрого поиска пакетов.

Фильтры отображения — это фильтры, основанные на протоколах, приложениях, именах полей или уникальных значениях, которые могут помочь пользователям быстро находить пакеты данных среди множества пакетов данных и значительно сократить время, необходимое для поиска пакетов данных.

Как использовать

Чтобы использовать фильтры отображения, вам необходимо Wireshark Вводим фильтр отображения в интерфейсе пакетов и выполняем его, выбираем ping Байду:

Пользователи могут вводить фильтры отображения в поле,Выполните поиск данных,Вы также можете фильтровать пакеты данных по протоколу.,я вхожуip.addr == 180.101.50.188,Затем начните снимать,в началеping Baidu, выведите следующую захваченную информацию:

Уведомление

Уведомление: Сначала начните захват, затем пинг

ICMP-запросы и ответы

Тип запроса

6. Иерархическая структура пакетов данных.

Введение

Любой захваченный пакет имеет свою собственную иерархию, и Wireshark автоматически анализирует эти пакеты и отображает иерархию пакетов для анализа пользователями. Эти пакеты и соответствующие им иерархии распределяются по разным панелям интерфейса Wireshark.

использовать Wireshark захватывать пакеты,Интерфейс такой, как показано на рисунке。

Информация, показанная на рисунке выше, распределена на 3 панели сверху вниз. Информация, содержащаяся на каждой панели, означает следующее:

• Packet List Панель: верхняя часть, показывающая Wireshark захваченданные Сумка。
• Панель сведений о пакете: средняя часть,Отображение подробной информации о содержимом пакета данных.,И отображается иерархическая структура. Эти иерархии по умолчанию свернуты.,Пользователи могут развернуть, чтобы просмотреть подробную информацию о содержимом.
• Packet Bytes Панель: нижняя часть, показывающая исходный необработанный вид пакета данных. ASCII формат для отображения.

к ICMP Взяв в качестве примера пакет данных протокола, то есть ping Baidu фильтрует пакеты данных, чтобы понять иерархическую структуру пакетов данных.

Среди них пакет номер 79 представляет собой пакет протокола ICMP. Информация, отображаемая в это время на панели «Сведения о пакете», представляет собой информацию об иерархической структуре пакета данных. Здесь показаны 4 уровня, и значение каждого уровня следующее:

• Кадр: обзор кадра данных физического уровня пакета данных.
• Ethernet II: канальный уровень данных — информация заголовка кадра Ethernet.
• Интернет-протокол версии 4: информация заголовка IP-пакета уровня Интернета.
• Internet Control Message Протокол: уровень Интернета Ответное сообщение протокола управляющего сообщения.

Видно, что Wireshark анализирует пакеты протокола HTTP и отображает иерархическую структуру протокола HTTP.

Пользовательский анализ пакета проверяет информацию о пакете, Увеличьте каждый слой, вы можете просмотреть соответствующую информацию. Например, посмотрите на уровень Интернета информацию, расширить Internet Control Message Protocol слое, отображаемая информация следующая:

Иерархическая структура других пакетов данных может быть проанализирована аналогичным образом.