)
Wireshark 学习笔记 (一)
基础
图形界面和数据
| 工具栏 | 主工具栏包含多个用于数据包嗅探和处理的菜单和快捷方式,包括过滤、排序、摘要、导出和合并。 |
|---|---|
| 显示过滤栏 | 主要查询和过滤区域。 |
| 近期文件 | 最近调查的文件列表。您可以通过双击调出列出的文件。 |
| 捕获过滤器和接口 | 捕获过滤器以及可用的嗅探点(网络接口)。网络接口是计算机和网络之间的连接点。软件连接(例如,lo、eth0 和 ens33)使网络硬件能够工作。 |
| 状态栏 | 工具状态、配置文件和数字数据包信息。 |
加载PCAP文件
加载任意pcap后缀文件(通过"文件"->"打开"或双击文件或拖动文件到wireshark)
| 数据包列表面板 | 每个数据包的摘要(源地址和目标地址、协议和数据包信息)。您可以点击列表来选择一个数据包进行进一步调查。一旦您选择了一个数据包,详细信息将显示在其他面板中。 |
|---|---|
| 数据包详情面板 | 选中数据包的详细协议分解。 |
| 数据包字节面板 | 选中数据包的十六进制和解码 ASCII 表示。它根据在详细信息面板中点击的部位突出显示数据包字段。 |
数据包着色
wireshark会根据不同条件或协议给数据包进行着色处理
wireshark的两种数据包着色方法:临时规则和永久规则。临时规则仅在程序会话期间可用,而永久规则则保存在偏好文件(配置文件)中,并在下一次程序会话时可用。
可以使用“右键菜单”或“查看 → 着色规则”菜单来创建永久着色规则。
“着色数据包列表”菜单用于激活/禁用着色规则。临时数据包着色通过“右键菜单”或“查看 → 会话过滤器”菜单完成
默认着色规则如下:
流量嗅探
蓝色的按钮开始网络嗅探(捕获流量)
红色的按钮将停止嗅探
绿色的按钮重新启动嗅探
齿轮按钮进行捕获过滤器的配置和选择嗅探接口
合并PCAP文件
可以使用 "文件 --> 合并" 菜单路径将一个 pcap 文件与已处理的文件合并。
当您选择第二个文件时,Wireshark 会显示所选文件中的数据包总数。
点击 "打开" 后,它将合并现有的 pcap 文件与所选文件,并创建一个新的 pcap 文件。请注意,在处理之前需要保存 "合并" 的 pcap 文件。
查看文件详情
数据包详细信息
根据 OSI 模型,数据包由 5 到 7 层组成。
可以看到数据包有七个不同的层:帧/数据包、源[MAC]、源[IP]、协议、协议错误、应用协议和应用数据。
帧(第 1 层):这将显示您正在查看的帧/数据包,以及 OSI 模型物理层的相关详细信息。
源[MAC](第 2 层):这将显示源和目标 MAC 地址;来自 OSI 模型的链路层。
源 [IP] (第 3 层): 这将显示源和目标 IPv4 地址;来自 OSI 模型的网络层。
协议 (第 4 层): 这将显示所使用的协议的详细信息(UDP/TCP)以及源和目标端口;来自 OSI 模型的传输层。
协议错误:这是第 4 层的延续,显示了需要重新组装的 TCP 特定片段。
应用层协议(第 5 层):这将显示特定于所使用协议的详细信息,例如 HTTP、FTP 和 SMB。来自 OSI 模型的第 5 层。
应用数据:这是第 5 层的一个扩展,可以显示特定于应用程序的数据。
数据包导航
转到数据包
可以迅速定位目标数据包
查找数据包
除了通过数据包编号查找,Wireshark 还可以通过数据包内容查找。可以使用“编辑 --> 查找数据包”菜单在数据包中搜索特定的事件。
查找数据包有两个关键点。第一个是输入类型。此功能接受四种输入类型(显示过滤器、十六进制、字符串和正则表达式)。字符串和正则表达式搜索是最常用的搜索类型。搜索不区分大小写,但您可以通过单击单选按钮来设置搜索时的大小写敏感性。
第二个点是选择搜索字段。您可以在三个窗格(数据包列表、数据包详细信息和数据包字节)中进行搜索,了解每个窗格中可用的信息对于查找感兴趣的事件非常重要。例如,如果您尝试查找数据包详细信息窗格中的信息,而在数据包列表窗格中执行搜索,即使信息存在,Wireshark 也无法找到它。
标记数据包
可以通过标记数据包来找到/指向特定的数据包进行进一步调查。这有助于分析师指向感兴趣的事件或从捕获中导出特定的数据包。您可以使用“编辑”或“右键单击”菜单来标记/取消标记数据包。
数据包注释
与数据包标记类似,可以添加注释来特定数据包,这将有助于进一步调查,或提醒并指出其他层分析师的重要/可疑点。与数据包标记不同,注释可以保留在捕获文件中,直到操作员将其删除。
导出数据包
有时需要从文件中分离特定的数据包,并深入挖掘以解决事件。这项功能有助于共享仅有的可疑数据包(确定范围)。因此,冗余信息不会包含在分析过程中。可以使用“文件”菜单来导出数据包。
导出对象(文件)
Wireshark 可以提取通过线路传输的文件。导出对象仅适用于选定协议的流(DICOM、HTTP、IMF、SMB 和 TFTP)。
时间显示格式
Wireshark 会按捕获顺序列出数据包,因此调查默认流量并不总是最佳选择。默认情况下,Wireshark 显示的时间是 "自捕获开始以来的秒数"。可以使用 "查看 --> 时间显示格式" 菜单来更改时间显示格式。
专家信息
Wireshark 还能检测协议的特定状态,以发现可能的异常和问题。请注意,这些都是建议,始终存在出现误报/漏报的可能性。专家信息可以提供三个不同严重程度的类别。详细信息如下表所示
| 严重程度 | 颜色 | 信息 |
|---|---|---|
| 聊天 | 蓝色 | 关于常规工作流程的信息。 |
| 注意 | 青色 | 显著事件,如应用程序错误代码。 |
| 警告 | 黄色 | 警告,如异常错误代码或问题描述。 |
| 错误 | 红色 | 诸如格式错误的分组等问题。 |
| 分组 | 信息 | 分组 | 信息 |
|---|---|---|---|
| 校验和 | 校验和错误。 | 已弃用 | 已弃用的协议使用。 |
| 评论 | 数据包注释检测。 | 格式错误 | 畸形数据包检测。 |
可以使用状态栏中的 "左下角区域" 或 "分析 --> 专家信息" 菜单,通过对话框查看所有可用的信息条目。它将显示数据包编号、摘要、分组协议和总出现次数。
数据包过滤
应用为过滤器
这是过滤流量的最基本方法。在调查捕获文件时,您可以点击要过滤的字段,并使用 "右键菜单"或 "分析" > 应用为过滤器 菜单来过滤特定值。应用过滤器后,Wireshark 将生成所需的过滤器查询,应用它,根据您的选择显示数据包,并从数据包列表窗格中隐藏未选择的数据包。请注意,总数据包数和显示的数据包数始终显示在状态栏上。
会话过滤器
当您使用“应用作为过滤器”选项时,您将仅过滤数据包中的一个实体。此选项是调查数据包中特定值的好方法。然而,假设您想通过关注 IP 地址和端口号来调查特定的数据包编号以及所有相关联的数据包。在这种情况下,“会话过滤器”选项可以帮助您仅查看相关数据包并轻松隐藏其余的数据包。您可以使用“右键菜单”或" 分析 --> 会话过滤器 "菜单来过滤会话。
着色对话
此选项与“对话过滤器”类似,但有一个区别。它突出显示链接的数据包,而不会应用显示过滤器并减少查看的数据包数量。此选项与“着色规则”选项 ad 配合使用,可更改数据包的颜色,而不会考虑先前应用的着色规则。您可以使用“右键菜单”或 "View --> 着色对话" 菜单单击即可着色链接的数据包。请注意,您可以使用 "View --> 着色对话 --> 重置着色" 菜单撤销此操作。
准备过滤器
与“应用作为过滤器”类似,此选项帮助分析师使用“右键单击”菜单创建显示过滤器。然而,与上一个选项不同,此选项在选定后不会应用过滤器。它会将所需的查询添加到窗格中,并使用“右键单击”菜单中的“..和/或..”执行命令(按回车键)或选择的其他过滤选项来等待执行。
按列应用
默认情况下,数据包列表窗格会提供每个数据包的基本信息。您可以使用“右键菜单”或“ 分析 --> 应用为列 ”菜单向数据包列表窗格添加列。一旦您点击某个值并将其应用为列,它就会在数据包列表窗格中可见。此功能有助于检查捕获文件中所有可用数据包中特定值/字段的显示情况。您可以通过点击数据包列表窗格的顶部来启用/禁用数据包列表窗格中显示的列。
追踪流
Wireshark 以数据包部分的大小显示所有内容。然而,可以重建流并查看在应用程序级别呈现的原始流量。遵循协议,流帮助分析师重现应用程序级数据并理解感兴趣的事件。还可以查看未加密的协议数据,如用户名、密码和其他传输数据。
您可以使用 "右键菜单"或 "分析" --> 追踪流 TCP/UDP/HTTP 流 菜单来跟踪流量流。流显示在一个单独的对话框中;来自服务器的数据包用蓝色突出显示,而来自客户端的数据包用红色突出显示。
一旦你跟随一个数据流,Wireshark 会自动创建并应用所需的过滤器来查看特定的数据流。记住,一旦应用了过滤器,查看的包数量会发生变化。你需要使用显示过滤器栏右上角位于 "X 按钮 " 来移除显示过滤器,查看捕获文件中所有可用的包。