Wireshark工具的使用

blog 302

以下是基于Windows的wireshark进行演示。其他操作系统大同小异

0x01.1 选择监听网卡

进入到wireshark工具的首界面,会让我们选择要监听的网卡。选择我们的监听的网卡。直接双击即可

Wireshark工具的使用

0x02 界面介绍

Wireshark工具的使用

0x02.1 快捷功能栏

快捷功能栏分别对应:

Wireshark工具的使用

1、开始抓包

2、停止抓包

3、重新开始抓包

4、抓包设置

5、打开数据包文件

6、保存抓包文件

7、关闭捕获文件

8、重新加载文件

9、查找

10、转到前一个分组

11、转到下一个分组

12、转到特定分组

13、转到首个分组

14、转到实时分组

15、抓包时跟随最新分组

16、对不同协议进行着色

17、放大主窗口文字

18、缩小主窗口文字

19、重置主窗口文字

20、调整分组列表适应内容

0x02.2 数据列表栏

Wireshark工具的使用

No 表示序号

Time 表示捕获包的时间

source 表示来源地址

Destination 表示目的地址

Protocol 表示协议名称

Length 表示数据包的长度

Info 表示数据包的信息

0x03 过滤器的使用

0x03.1 过滤IP

只看目的IP地址的数据包

ip.dst == xxx.xxx.xxx.xxx
Wireshark工具的使用

只看来源IP地址的数据包:

ip.src == xxx.xxx.xxx.xxx
Wireshark工具的使用

查看某个IP地址的数据包:

ip.addr eq xxx.xxx.xxx.xxx
Wireshark工具的使用

0x03.2 过滤端口

只显示源地址或者目的地址为tcp协议80端口的数据包:

ip.addr eq xxx.xxx.xxx.xxx && tcp.port == 80
Wireshark工具的使用

显示来源地址为tcp协议的80端口数据包:

tcp.srcport == 80
Wireshark工具的使用

显示目的地址为TCP协议的80端口数据包:

tcp.dstport == 80
Wireshark工具的使用

只显示端口号大于或等于0且小于等于100的数据包:(不分来源IP和目的IP)

tcp.srcport >= 0 && tcp.srcport <= 100
Wireshark工具的使用

0x03.3 过滤协议

tcp/udp/ip/dhcp/icmp/ftp/dns/http/arp/...等等
Wireshark工具的使用
Wireshark工具的使用

其他过滤协议同上

0x03.4 过滤MAC地址

只显示来源MAC地址为xx:xx:xx:xx:xx:xx的数据包

eth.src == xx:xx:xx:xx:xx:xx
Wireshark工具的使用

只显示目的地址为xx:xx:xx:xx:xx:xx的数据包

eth.dst == xx:xx:xx:xx:xx:xx 
Wireshark工具的使用

0x03.5 过滤数据包长度

只显示udp协议并且长度大于等于10的数据包

这里的 >= 表示大于等于 <= 表示小于等于 == 表示等于

udp.length >= 10 
Wireshark工具的使用

显示tcp协议的长度大于等于1000的数据包

tcp.len >= 1000
Wireshark工具的使用

只显示tcp协议簇的长度大于等于100的数据包并且是HTTP协议的数据包

tcp.len >= 100 && http
Wireshark工具的使用

0x03.6 过滤HTTP

只显示HTTP协议的数据包

http
Wireshark工具的使用

只显示GET请求的数据的数据包

Wireshark工具的使用

显示POST请求的数据包

http.request.method == "POST"
Wireshark工具的使用

显示URL请求路径路径为/q的数据包

http.request.uri == "/q"
Wireshark工具的使用

显示http的数据包并且包含字符串404的数据包

http contains 404
Wireshark工具的使用

0x04 数据流跟踪

在某个http数据包或tcp数据包中右键选择追踪流,可以将HTTP流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。

根据数据包类型的不同,这里的选项也有所差异。因为我这里选择的是TCP协议。所以右键追踪流的时候,只能选择TCP流

Wireshark工具的使用

以下为点击TCP流之后的效果

Wireshark工具的使用

0x05 数据包的提取

0x05.1 导出某个协议的所有数据文件

点击菜单栏中的文件,选择导出对象,之后选择我们要导出的协议。我这里选择HTTP

Wireshark工具的使用

之后会出现一个对象列表。之后点击Save all

Wireshark工具的使用

选择保存路径之后。就可以查看它请求了哪些文件以及图片

Wireshark工具的使用

0x05.2 导出某个数据包文件

选中我们要保存的数据包。之后在数据包被格式化之后的栏中找到Portable Network Graphics。取首字母的话也就是PNG

其他文件类型于此相似。都是取首字母。右键之后。点击显示分组字节

Wireshark工具的使用

之后在弹出的对话框中的显示为选择图像原始数据。之后点击另存为,保存的名称需要带上这个文件的后缀,比如说123.png456.png

Wireshark工具的使用

之后文件就被成功地保存下来了

常见的HTTP流关键内容

1、HTML中直接包含重要信息

2、上传或下载文件内容,通常包含文件名、hash值等关键信息,常用POST请求上传。

3、一句话木马,POST请求,内容包含eval,内容使用base64加密

分享