Wireshark是一款广受欢迎的网络数据包分析工具,具备强大的功能,能够捕获多种网络数据包并展示其详细信息。使用者需具备网络协议相关知识,否则难以理解其显示内容。出于安全设计,该软件仅支持查看数据包,无法对数据包内容进行修改,也不具备发送数据包的能力,确保了其在分析过程中的安全性与可靠性。
1、 启动Wireshark进行网络数据包捕获
2、 启动页面
3、 Wireshark用于捕获指定网卡的网络数据包,若设备配备多块网卡,需手动选择目标网卡进行抓包操作。
4、 在Caputre菜单中选择Interfaces,弹出对话框后选取正确的网络适配器,随后点击Start按钮,即可开始数据包捕获。
5、 Wireshark界面功能详解
6、 Wireshark主要包含这几个功能界面
7、 显示过滤器,用于筛选和展示特定数据信息。
8、 封包列表窗口显示已捕获的数据包,包括源地址、目标地址和端口号,不同颜色标识不同类型的通信流量,便于快速区分和分析网络数据。
9、 封包详细信息窗格用于展示封包内各个字段的具体内容。
10、 数据包十六进制显示区域
11、 地址栏及其他相关设置选项
12、 Wireshark显示过滤功能位于第2页
13、 过滤功能至关重要,初学者使用Wireshark时往往会捕获大量冗余数据,面对成千上万条记录,难以准确定位所需信息,容易感到混乱和困惑。合理运用过滤可显著提升分析效率。
14、 过滤器能快速从海量数据中精准筛选出所需信息。
15、 过滤器分两种类型
16、 一种为显示过滤器,位于主界面,用于从已捕获的记录中筛选出所需信息。
17、 可设置捕获过滤器以筛选需记录的数据包,避免捕获过多信息,相关配置位于捕获菜单下的捕获过滤器选项中。
18、 留存筛选
19、 在筛选栏输入表达式后,点击保存按钮,并为其命名,例如筛选102。
20、 Filter栏中新增了一个名为Filter 102的按钮。
21、 过滤表达式规则说明
22、 表达式规则设定
23、 协议筛选
24、 例如TCP,仅显示TCP协议名称。
25、 IP地址筛选
26、 例如,当源IP地址为192.168.1.102时,显示结果即为该地址的数据包信息。
27、 目标IP地址为192.168.1.102,用于筛选目的地址为该IP的数据包。
28、 端口筛选
29、 筛选条件为TCP协议且端口号等于80的数据包
30、 仅显示TCP协议中源端口号为80的数据包。
31、 HTTP模式下的数据筛选与处理
32、 仅显示使用HTTP GET方法的请求。
33、 逻辑运算符包括 AND 和 OR。
34、 数据包列表显示区域
35、 封包列表面板展示了编号、时间戳、源地址、目标地址、协议、长度及封包详情,不同协议以不同颜色标识,便于区分和查看。
36、 可通过查看菜单中的颜色规则来自定义显示颜色的设置。
37、 显示数据包的详细结构与各层协议信息。
38、 该面板用于查看协议各字段,是我们最为关键的工具。
39、 各行数据依次为
40、 物理层数据帧的结构与传输特性概述
41、 Ethernet II:数据链路层中以太网帧的头部结构信息
42、 IPv4:互联网协议第四版,用于定义网络层IP数据包的头部结构与信息。
43、 传输控制协议:位于传输层,其数据段头部信息用于TCP通信,确保数据可靠传输。
44、 超文本传输协议:位于应用层,用于信息传输,此处特指HTTP协议。
45、 第3页展示Wireshark在OSI七层模型中的对应关系。
46、 TCP数据包的详细信息
47、 所示,Wireshark捕获的TCP数据包各字段清晰可见。
48、 第四页:TCP三次握手过程实例解析
49、 了解完Wireshark基础后,接下来我们通过一个实例来观察TCP三次握手的过程。
50、 三次握手建立连接
51、 这张图已看过多次,这次我们将利用Wireshark实际分析三次握手的全过程。
52、 启动Wireshark后,在浏览器中访问http://www.cr173.com以捕获网络数据包。
53、 在Wireshark中输入http作为过滤条件,找到GET /tankxiao HTTP/1.1的请求记录,右键选择追踪TCP流,即可查看该连接的完整数据交互过程。
54、 目的是获取浏览器访问网站时产生的数据包,结果所示。
55、 从图中可见,Wireshark捕获到三次握手的三个数据包,随后才是HTTP数据包,这表明HTTP确实通过TCP建立连接后才进行通信。
56、 首握手数据包
57、 客户端发送SYN标志位为1、序列号为0的TCP报文,请求建立连接。
58、 第二次握手的通信数据包
59、 服务器返回带有SYN和ACK标志的确认包,将确认序号设置为客户端初始序列号加1,即0加1等于1,所示。
60、 第三次握手的报文
61、 客户端再次发送确认报文,其中SYN标志置为0,ACK标志置为1。将服务器发送的ACK序号加1后填入确认字段,并在数据段中填入初始序列号加1的值,具体格式所示。
62、 通过三次握手成功建立TCP连接。
