Wireshark了解

Wireshark了解

——基于《Wireshark网络分析就是这么简单》

简介

Wireshark是最流行的网络嗅探器之一，能在多种平台上抓取和分析网络包，命令行形式为TShark。

Wireshark基于TCP/IP模型，基本原理为：

1. 混杂模式下的网卡将网络上传输的数据包捕获。
2. Wireshark的网络协议分析器分析数据包内容。
3. 协议分析器为捕获过滤器提供要捕获的包（数据帧）。
4. 显示过滤器和各种分析工具提供基于被捕获包的结果。

也即，Wireshark实际分析计算机网络近乎最底层的各种协议数据包，提供从数据链路层往上的数据包（即数据帧）结果。

对比于Burpsuit，Burpsuit实际上基于http数据包的web分析和利用软件：

• 从技术层次上来看，http是一个应用层协议，而Wireshark抓取的数据帧（从应用层到数据链路层，层层封装）完全包含http协议部分。
• 从功能上来看，Wireshark主要是分析帧，而Burpsuit更多是是对http数据包的分析修改和各种详细操作。

基本操作

Wireshark的核心功能就是抓包：

1. 打开软件，点击菜单栏的Capture->interfaces选择要抓包的网卡，然后点击开始。
2. 通过该网卡接收或发送相应的数据包。
3. 单击Stop停止捕获，再通过file中的save保存捕获的网络包，格式为.pcapng。
4. 捕获的包在界面中分上中下三部分：
   • 上：PacketList，列出所有捕获的网络包
   • 中：PacketDetails，显示选定的网络包详细内容
   • 下：PacketBytesDetails，显示捕获包的二进制形式，一般不用

实例说明

选中以太网网卡，点击开始，然后在cmd命令行ping baidu.com。

ping操作完成后点击stop，然后用ip.src == ip or ip.src == ip过滤选出所发送和接收的ping包

对于捕获的包，我们可以在PacketDetail中看到其详细内容：

1. Frame:物理层的数据帧概况；

   此帧并非数据链路层的以太网帧，而是wireshark抓包后对抓包内容的解释说明

2. Ethernet II: 数据链路层以太网帧头部信息；

3. Internet Protocol Version 4: 网络层IP数据包头部信息；

4. Transmission Control Protocol: 传输层的数据段头部信息

5. 应用层的各种协议包

以上内容及顺序与实际以太网帧、分组、数据段的结构完全一样。