?

Wireshark – 數據包捕獲和分析

本文將介紹數據包捕獲和分析的方法。本文還將介紹一些用于提高捕獲和分析過程中效率的高級工具。

為什么要四處嗅探？ 

如果您以前有保護系統的經驗，那么再怎么強調偵察的重要性都不為過。如果您是新手，請知道它非常重要。數據包嗅探是網絡偵察和監控的一種基本形式。它對學生和 IT 專業人員同樣有用。

Wireshark 使用底層數據包捕獲庫捕獲進出其設備上的 NIC 的數據。默認情況下，Wireshark 僅捕獲設備上的數據，但如果在混雜模式下運行，它可以捕獲其 LAN 上的幾乎所有數據。目前，Wireshark 使用 NMAP 的數據包捕獲庫（稱為 npcap）。

啟動和運行：安裝后啟動 Wireshark，批準管理員或超級用戶權限，您將看到一個如下所示的窗口：

 

?

此窗口顯示設備上的接口。要開始嗅探，請選擇一個界面，然后單擊左上角的 bluefin 圖標。數據捕獲屏幕有三個窗格。頂部窗格顯示實時流量，中間窗格顯示有關所選數據包的信息，底部窗格顯示原始數據包數據。頂部窗格顯示源地址（IPv4 或 IPv6）、目標地址、源端口和目標端口、數據包所屬的協議以及有關數據包的其他信息。

 

?

由于每秒都有大量數據包進出，因此查看所有數據包或搜索一種類型的數據包將很乏味。這就是提供數據包過濾器的原因。可以根據許多參數（如 IP 地址、端口號或捕獲級別或顯示級別的協議）對數據包進行篩選。顯而易見，顯示級別過濾器不會影響正在捕獲的數據包。

一些常規的捕獲過濾器是： 

 

? host （通過單個目標捕獲流量）

? net（ 捕獲通過網絡或子網的流量）。“net” 可以以 “src” 或 “dst” 為前綴，以指示數據是來自目標主機還是發送到目標主機。

? port （捕獲通過端口或來自端口的流量）。“port” 可以以 “src” 或 “dst” 為前綴，以指示數據是來自目標端口還是流向目標端口。

? “and”、“not” 和 “or” 邏輯連接詞。（用于將多個過濾器組合在一起）。

還有一些更基本的過濾器，它們可以非常有創意地組合起來。另一個過濾器范圍，顯示過濾器，用于對捕獲的數據創建抽象。這些基本示例應該提供其語法的基本概念：

 

? tcp.port==80/udp.port==X 顯示端口 X 的 tcp/udp 流量。

? http.request.uri matches “parameter=value$” 顯示應用層級別的 HTTP 請求數據包，它們的 URI 以帶有某個值的參數結尾。

? 邏輯連接詞 and or and not 在這里也有效。

? ip.src==192.168.0.0/16 和 ip.dst==192.168.0.0/16 將顯示進出工作站和服務器的流量。

還有一個著色規則的概念。每個協議/端口/其他元素都提供了唯一的顏色，使其易于查看，以便快速分析。有關著色規則的更多詳細信息 ，請參見此處  

插件是可以嵌入到本機 Wireshark 中的額外代碼。插件通過以下方式幫助進行分析：

 

? 顯示特定于參數的統計數據和見解。

? 處理捕獲文件及其格式相關問題。

? 與其他工具和框架協作，以設置一體化網絡監控解決方案。

只需查看通過您的設備或 LAN 中的所有流量的基本功能以及幫助您進行分析的工具和插件，您就可以使用您的設備做很多事情。喜歡：

 

? 排查設備或 WiFi 的 Internet 連接問題。

? 監控您的設備是否有可能表明惡意軟件感染的不需要的流量。

? 測試涉及網絡的應用程序的工作情況。

? 使用它來了解計算機網絡的工作原理。

 

?