Wireshark 学习 一篇文章就行

admin 2023年4月9日13:39:08评论36 views字数 1106阅读3分41秒阅读模式

Wireshark是网络工程师和渗透测试人员使用最广泛的一款开源抓包工具。常用来检测网络问题、攻击溯源、或者分析底层通信机制。通过本文,让你学会如何使用它!

安装与启动

Wireshark的安装很简单,支持款平台。在windows中,我们只需双击安装包进行安装。在Linux中,我们可以通过apt命令进行安装。(认准官网地址:https://www.wireshark.org/

Wireshark 学习 一篇文章就行
Wireshark 学习 一篇文章就行
启动后 我们需要实际情况 选择网卡设备

界面介绍

wireshark大体可分为五个区域,分别如下所示。Wireshark 学习 一篇文章就行

快捷功能栏分别对应

Wireshark 学习 一篇文章就行
Wireshark 学习 一篇文章就行

最常用操作

抓包与停止

选择网卡后,默认自动抓包。

Wireshark 学习 一篇文章就行

我们可以选择红色的小按钮停止抓包。

保存包

点击右上角的文件,选择保存,可以保存抓包的数据。包的数据格式常见格式是pcap

Wireshark 学习 一篇文章就行

调整界面大小

工具栏中的三个放大镜图标,可以调整主界面数据的大小。从左到右依次是:放大、缩小、还原默认大小。

Wireshark 学习 一篇文章就行

过滤器操作

过滤器是Wireshark的核心功能,也是我们平时使用最多的一个功能。Wireshark提供了两个过滤器:抓包过滤器显示过滤器。两个过滤器的过滤思路不同。

  • 抓包过滤器:重点在动作,需要的包我才抓,不需要的我就不抓。
  • 显示过滤器:重点在数据的展示,包已经抓了,只是不显示出来。

抓包过滤器

使用抓包过滤器时,需要先停止抓包,设置完过滤规则后,再开始抓包。停止抓包的前提下,点击工具栏的捕获按钮,点击选项。

Wireshark 学习 一篇文章就行在弹出的捕获选项界面,最下方的输入框中输入过滤语句,点击开始即可抓包。如,我们只想要tcp数据包。

Wireshark 学习 一篇文章就行

显示过滤器

显示过滤器在抓包后或者抓包的过程中使用。在过滤栏输入过滤语句,修改后立即生效。

Wireshark 学习 一篇文章就行对于过滤规则,我在前面的文章中曾写过,请移步文章《WireShark从入门到放弃

大黑阔必学技

获取提交的密码

过滤HTTP

只显示GET请求的数据的数据包

http.request.method == "GET"

只显示gost请求的数据的数据包

http.request.method == "GOST"

数据流跟踪

在某个http数据包或tcp数据包中右键选择追踪流,可以将HTTP流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。

根据数据包类型的不同,这里的选项也有所差异。因为我这里选择的是TCP协议。所以右键追踪流的时候,只能选择TCP流Wireshark 学习 一篇文章就行

导出某个数据包文件

选中我们要保存的数据包。之后在数据包被格式化之后的栏中找到Portable Network Graphics。取首字母的话也就是PNG。其他文件类型于此相似。都是取首字母。右键之后。点击显示分组字节。Wireshark 学习 一篇文章就行效果Wireshark 学习 一篇文章就行

更多精彩文章 欢迎关注我们


原文始发于微信公众号(kali黑客笔记):Wireshark 学习 一篇文章就行

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年4月9日13:39:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Wireshark 学习 一篇文章就行https://cn-sec.com/archives/1662834.html

发表评论

匿名网友 填写信息