以下是基于Windows的wireshark进行演示。其他操作系统大同小异。
0x01.1 选择监听网卡
进入到wireshark工具的首界面,会让我们选择要监听的网卡。选择我们的监听的网卡。直接双击即可。
0x02 界面介绍
0x02.1 快捷功能栏
快捷功能栏分别对应:
1、开始抓包
2、停止抓包
3、重新开始抓包
4、抓包设置
5、打开数据包文件
6、保存抓包文件
7、关闭捕获文件
8、重新加载文件
9、查找
10、转到前一个分组
11、转到下一个分组
12、转到特定分组
13、转到首个分组
14、转到实时分组
15、抓包时跟随最新分组
16、对不同协议进行着色
17、放大主窗口文字
18、缩小主窗口文字
19、重置主窗口文字
20、调整分组列表适应内容
0x02.2 数据列表栏
No 表示序号
Time 表示捕获包的时间
source 表示来源地址
Destination 表示目的地址
Protocol 表示协议名称
Length 表示数据包的长度
Info 表示数据包的信息
0x03 过滤器的使用
0x03.1 过滤IP
只看目的IP地址的数据包:
ip.dst == xxx.xxx.xxx.xxx
只看来源IP地址的数据包:
ip.src == xxx.xxx.xxx.xxx
查看某个IP地址的数据包:
ip.addr eq xxx.xxx.xxx.xxx
0x03.2 过滤端口
只显示源地址或者目的地址为tcp协议80端口的数据包:
ip.addr eq xxx.xxx.xxx.xxx && tcp.port == 80
只显示来源地址为tcp协议的80端口数据包:
tcp.srcport == 80
只显示目的地址为TCP协议的80端口数据包:
tcp.dstport == 80
只显示端口号大于或等于0且小于等于100的数据包:(不分来源IP和目的IP)
tcp.srcport >= 0 && tcp.srcport <= 100
0x03.3 过滤协议
tcp/udp/ip/dhcp/icmp/ftp/dns/http/arp/...等等
其他过滤协议同上
0x03.4 过滤MAC地址
只显示来源MAC地址为xx:xx:xx:xx:xx:xx的数据包
eth.src == xx:xx:xx:xx:xx:xx
只显示目的地址为xx:xx:xx:xx:xx:xx的数据包
eth.dst == xx:xx:xx:xx:xx:xx 
0x03.5 过滤数据包长度
只显示udp协议并且长度大于等于10的数据包
这里的 >= 表示大于等于 <= 表示小于等于 == 表示等于
udp.length >= 10 
只显示tcp协议的长度大于等于1000的数据包
tcp.len >= 1000
只显示tcp协议簇的长度大于等于100的数据包并且是HTTP协议的数据包
tcp.len >= 100 && http
0x03.6 过滤HTTP
只显示HTTP协议的数据包
http
只显示GET请求的数据的数据包
只显示POST请求的数据包
http.request.method == "POST"
只显示URL请求路径路径为/q的数据包
http.request.uri == "/q"
只显示http的数据包并且包含字符串404的数据包
http contains 404
0x04 数据流跟踪
在某个http数据包或tcp数据包中右键选择追踪流,可以将HTTP流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。
根据数据包类型的不同,这里的选项也有所差异。因为我这里选择的是TCP协议。所以右键追踪流的时候,只能选择TCP流
以下为点击TCP流之后的效果
0x05 数据包的提取
0x05.1 导出某个协议的所有数据文件
点击菜单栏中的文件,选择导出对象,之后选择我们要导出的协议。我这里选择HTTP
之后会出现一个对象列表。之后点击Save all
选择保存路径之后。就可以查看它请求了哪些文件以及图片
0x05.2 导出某个数据包文件
选中我们要保存的数据包。之后在数据包被格式化之后的栏中找到Portable Network Graphics。取首字母的话也就是PNG。
其他文件类型于此相似。都是取首字母。右键之后。点击显示分组字节。
之后在弹出的对话框中的显示为选择图像或原始数据。之后点击另存为,保存的名称需要带上这个文件的后缀,比如说123.png、456.png。
之后文件就被成功地保存下来了。
常见的HTTP流关键内容:
1、HTML中直接包含重要信息
2、上传或下载文件内容,通常包含文件名、hash值等关键信息,常用POST请求上传。
3、一句话木马,POST请求,内容包含eval,内容使用base64加密
本文作者为blog,转载请注明。
