WireShark 抓包及常用协议分析

*****免责声明*****

此处介绍的技术仅作为研究，学习，交流用，严禁任何个人，机构，公司，组织，团体使用这里公布的技术对任何类似上述的第三方实体进行未经授权，非法的渗透测试与攻击入侵，同时本博文作者不承担由此造成目标的任何（包括但不限于）经济损失，用户数据丢失或泄漏，业务亏损等后果产生的相应法律责任

WireShark 简介和抓包原理及过程

WireShark 简介

Wireshark 是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最

为详细的网络封包资料。Wireshark 使用 WinPCAP 作为接口，直接与网卡进行数据报文交换。

WireShark 的应用

网络管理员使用 Wireshark 来检测网络问题，网络安全工程师使用 Wireshark 来检查资讯安全相关

问题，开发者使用 Wireshark 来为新的通讯协议除错，普通使用者使用 Wireshark 来学习网络协议的相

关知识。当然，有的人也会“居心叵测”的用它来寻找一些敏感信息……

WireShark 快速分析数据包技巧

1. 确定 Wireshark 的物理位置。如果没有一个正确的位置，启动 Wireshark 后会花费很长的时间捕获一些与自己无关的数据。
2. 选择捕获接口。一般都是选择连接到 Internet 网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。
3. 使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获数据。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。
4. 使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。
5. 使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。
6. 构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。
7. 重组数据。当传输较大的图片或文件时，需要将信息分布在多个数据包中。这时候就需要使用重组数据的方法来抓取完整的数据。Wireshark 的重组功能，可以重组一个会话中不同数据包的信息，或者是重组一个完整的图片或文件。

实战：WireShark 抓包及快速定位数据包技巧

混杂模式介绍

• 混杂模式概述：混杂模式就是接收所有经过网卡的数据包，包括不是发给本机的包，即不验证 MAC地址。普通模式下网卡只接收发给本机的包（包括广播包）传递给上层程序，其它的包一律丢弃。
  一般来说，混杂模式不会影响网卡的正常工作，多在网络监听工具上使用。
• 

使用过滤器筛选 arp 的数据包

• 

实战：使用 WireShark 对常用协议抓包并分析原理

查看： Address Resolution Protocol (reply) ARP 地址解析协议

• Address Resolution Protocol (reply) #ARP 地址解析协议 reply 表示回复包
  Hardware type: Ethernet (1) #硬件类型
  Protocol type: IPv4 ( 0x0800 ) #协议类型
  Hardware size: 6 #硬件地址
  Protocol size: 4 #协议长度
  Opcode:_ reply ( 2 ) #操作码，该值为 2 表示 ARP 回复包
  Sender MAC address: XXXXXXXXXXXX (a4:56:02:3b:4b:03) #源 MAC 地址
  Sender IP address: 192.168.1.1 . #源 IP 地址
  Target MAC address: 00:00:00_ 00: 00:00 (00:0c:29:8b:2b:b8) #目标 MAC 地址
  Target IP address: 192.168.1.53 #目标 IP 地址

• 其他协议同

tcp建立连接三次挥手

• 

   

   

tcp断开连接四次挥手

•