最近在做新年总结,回顾近期的公众号内容发现有些跑偏了,陷入了流量和关注数不可自拔,已经偏离了我们想要记录学习成果、分享技术经验的初衷;近几个月基本都在疯狂的挖掘新奇工具,早已忘了知识沉淀,是时候静下心来学点什么了。
从这期开始,我们选定了wireshark作为下一步的主要学习方向,如果您也有此需求,希望我们的分享能与您一同成长。
闲话不多说,进入主题
对于新手,当用wireshark导入一个数据包,看到无比复杂的界面基本都是一脸懵逼,完全无从下手,所以我们来看看第一步做什么才能让自己冷静下来。
wireshark主界面在此就不做过多介绍了,直接点开 “统计”菜单,关注“捕获文件属性”和“会话”两个选项。
先看“捕获文件属性”
这里记录了关于数据包的一些基本情况,例如数据包哈希值、大小、数据包捕获开始与结束时间,分组数量等一些基础信息,某些大比武的头几道题非常喜欢考这些,所以知道打开这里是不是就相当于捡分了!
再来看“会话”
这里就比较厉害了,可以从中对整个数据包的大致内容有个把握。
选项界面中有多个标签(图中数字1),从标签名称就可以知道每个标签表示一个协议分类,标签名字后的数字代表该协议下有多少分组,如果上面没有我们需要的协议,还可以在“Conversation类型”(图中数字2)下拉框中添加我们需要的协议。
在上图中,我们可以看到192.168.138.158这个IP分别与另外三个IP地址有过通讯,每个通讯发送接收的数据包数量、总大小,开始时间(Rel Start)(图中数字3),持续时间(Druation)(图中数字4)都有详细的记录,这里的开始时间是以开始抓包时间作为起始的,如果想知道实际的北京时间,可以勾选下方的“绝对开始时间”(图中数字5),效果如下图。
如果我想知道被抓的IP访问的是哪个网站,那这里显示的IP还是不够直观,有没有办法把IP显示成域名给我看呢?有!
关闭“会话”窗口,回到主界面,点开“视图”菜单,按照下图操作,将“解析网络地址”勾上。
再回到“会话”,左下角的“名称解析”是不是已经可勾选了?赶紧的勾上,你要的效果来啦(下图)
除了这里介绍的,TCP和UDP选项卡还可以看到具体的端口连接情况,有兴趣的可以去看看,就不多做介绍了。
今天用的到数据包下载地址:
https://www.malware-traffic-analysis.net/2015/01/18/2015-01-18-traffic-analysis-exercise-1-of-2.pcap.zip
解压密码:infected
下周我们继续一起学习数据过滤方法,不见不散!
喜欢小知的话请不要忘了关注,点赞,转发!
原文始发于微信公众号(哆啦安全):玩转Wireshark
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论