夜樱

WireShark强大的网络流量分析工具(慢更)
基础WireShark可视化界面:Packet List区域是wireshark捕获到的数据包列表,我们可以在这看...
扫描右侧二维码阅读全文
07
2019/04

WireShark强大的网络流量分析工具(慢更)

基础

WireShark可视化界面:
wireshark图形化面板.png

Packet List区域是wireshark捕获到的数据包列表,我们可以在这看到wireshark为我们捕获到的数据包并现实化出来用于提供分析行为等操作

Packet Details区域显示分析数据包的详细信息。这个面板用OSI七层模型形式,分层次地显示了一个数据包中的内容,并且可以通过展开或是收缩来显示这个数据包中所捕获的全部内容,在网络学习协议时候我们都会重点看重这块区域

Packet Bytes区域是我们看到数据包在传输时候传输的内容将以十六进制和ASCII码的形式显示数据包的内容。这里显 示了一个数据包未经处理的原始样子,也就是在链路上传播时的样子,我们可以通过这块区域大致分析数据包里面的内容

筛选器的用法

Wireshark的筛选器可以让我们找出我们所希望进行分析的数据包。筛选器定义了一定的条件,用来包含或者排除数据包的表达式。在分析中,不希望看到某一些数据包,那么就可以通过筛选器来屏蔽掉它们, 从而只显示我们感兴趣和想要的内容。但有些时候,可能会因为设置了不恰当的筛选器而漏掉了一些关于这个网络情况的关键数据
当我们想要获得http协议的时候,就可以在筛选器上打:

用法: http

就可以将关于HTTP协议的流量包全部筛选出来,将其他的协议流量包隐藏

筛选器主要是在处理大量的数据和有目标的时侯使用,筛选器也支持与 (and)、或(or)、非(not)等逻辑运算符,可以加强筛选的效率。我们可以通过如下语句来显示出所有IP地址为127.0.0.1,端口号为80的数据包:

用法: ip.addr==127.0.0.1 and tcp.port==80

也可以查看所有非TCP协议的协议:

用法: !tcp

除了逻辑操作符,在筛选器中还可以使用比较操作符,比如等于(==)、不等于 (!=)、大于(>)、小于(<)、大于等于(>=)以及小于等于(<=)等。

用法:frame.len<=230(过滤出帧数据小于230字节的流量包)

wireshark也可以过滤出源地址和目的地址逻辑地址(IP)数据包:

用法: ip.src =<源地址IP> and ip.dest=<目的地址IP>

还有许多用法之后补上:|====> |

wireshark中的一些高级特性

专家信息:整个网络中的TCP信息,都会被Wireshark的专家信息所记录,如丢包或者网络阻塞等。针对于每个协议的解析器,都会有一些专家信息,专家分析的功能可以将在网络上传输的一些不正常的流量标记出来用来分析数据包的异常和产生的错误,我们在分析的时候,可以通过专家信息窗口来查看使用该协议的数据包中一些特定状态的错误、警告以及提示等信息从而快速诊断出在这网络上出现的异常以及对非法流量的快速定位
专家信息下的一些参数:

  • Error:数据包里面或者解析器解析时出现的错误
  • Warnings:不正常通信中的异常数据包
  • Notes:正常通信中的异常数据包
  • Chats:网络通信的基本信息
  • Details:显示数据包的详细信息
  • Packet Comments:数据包的描述信息

wireshark专家信息.png

在这个专家模式下我们就可以快速的查看信息发现DNS的传输出现了奇怪一些十六进制,从而快速定位问题信息

wireshark还可以统计出所有协议请求所占的比重,在统计选项卡下的协议分级选项就可以打开:

wireshark协议分级.png

还可以找到分组长度来查看协议长度的比重情况确定请求数据包和传输数据包次数的情况:

协议分组长度.png

40-79字节的传输是一段控制字节传输,用来控制TCP/IP协议类似协议建立连接会话,1280-2559字节的传输是数据包的传输,其它的有兴趣可以深入了解看看

TCP Stream流追踪和HTTP Stream流追踪(UDP等),可以将这次通信所传输的http和tcp请求分块重新组合成一个易于我们看懂的形式展现,在分析流量内容也是极为重要的一个功能,不同的传输追踪下来的内容也不同,每一段被分组的都能被重组,我们只需要找到我们想要了解行为的数据包将其追踪就可以了

TCP流追踪.png

这里追踪了一个POST请求下的HTTP请求查看了其中的TCP Stream,显示出了传输中的内容可以发现这是一个py交易的一次传输(jiaoyi.txt暴露)也可以看到base64加密的密文解密后得到是恶意的PHP执行命令代码用于取得服务器权限

Last modification:April 10th, 2019 at 06:55 pm
If you think my article is useful to you, please feel free to appreciate

One comment

  1. Gazzz

    Mark~

Leave a Comment