一、wireshark是什麼?
wireshark是非常流行的網路封包分析軟體,簡稱小鯊魚,功能十分強大。可以擷取各種網路封包,顯示網路封包的詳細資訊。
wireshark是開源軟體,可以放心使用。可以執行在Windows和Mac OS上。
二、Wireshark常用應用場景
1. 網路管理員會使用wireshark來檢查網路問題
2. 軟體測試工程師使用wireshark抓包,來分析自己測試的軟體
3. 從事socket程式設計的工程師會用wireshark來除錯
4. 運維人員用於日常工作,應急響應等等
總之跟網路相關的東西,都可能會用到wireshark
三、Wireshark抓包原理
Wireshark使用WinPCAP作為介面,直接與網路卡進行資料包文交換。
Wireshark使用的環境大致分為兩種,一種是電腦直連網路的單機環境,另外一種就是應用比較多的網路環境,即連線交換機的情況。
「單機情況」下,Wireshark直接抓取本機網路卡的網路流量;
「交換機情況」下,Wireshark透過埠映象、ARP欺騙等方式獲取區域網中的網路流量。
埠映象:利用交換機的介面,將區域網的網路流量轉發到指定電腦的網路卡上。
ARP欺騙:交換機根據MAC地址轉發資料,偽裝其他終端的MAC地址,從而獲取區域網的網路流量。
四、Wireshark軟體安裝
軟體下載路徑:
https://www.wireshark.org/
按照系統版本選擇下載,下載完成後,按照軟體提示一路Next安裝。
五、Wireshark抓包示例
先介紹一個使用wireshark工具抓取ping命令操作的示例,可以上手操作感受一下抓包的具體過程。
1、開啟wireshark,主介面如下:
2、選擇選單欄上 捕獲 -> 選項,勾選WLAN網路卡。這裡需要根據各自電腦網路卡使用情況選擇,簡單的辦法可以看使用的IP對應的網路卡。點選Start,啟動抓包。
3、wireshark啟動後,wireshark處於抓包狀態中。
4、執行需要抓包的操作,如在cmd視窗下執行ping www.baidu.com。
5、操作完成後相關資料包就抓取到了,可以點選 停止捕獲分組 按鈕。
6、為避免其他無用的資料包影響分析,可以透過在過濾欄設定過濾條件進行資料包列表過濾,獲取結果如下。
說明:ip.addr == 183.232.231.172 and icmp 表示只顯示ICPM協議且主機IP為183.232.231.172的資料包。說明:協議名稱icmp要小寫。
7、wireshark抓包完成,並把本次抓包或者分析的結果進行儲存,就這麼簡單。關於wireshark顯示過濾條件、抓包過濾條件、以及如何檢視資料包中的詳細內容在後面介紹。
六、Wireshakr抓包介面介紹
Wireshark 的主介面包含6個部分:
選單欄:用於除錯、配置
工具欄:常用功能的快捷方式
過濾欄:指定過濾條件,過濾資料包
資料包列表:核心區域,每一行就是一個資料包
資料包詳情:資料包的詳細資料
資料包位元組:資料包對應的位元組流,二進位制
說明:資料包列表區中不同的協議使用了不同的顏色區分。協議顏色標識定位在選單欄 檢視 --> 著色規則。如下所示
WireShark 主要分為這幾個介面
1. Display Filter(顯示過濾器)
用於設定過濾條件進行資料包列表過濾。選單路徑:分析 --> Display Filters。
2. Packet List Pane(資料包列表)
顯示捕獲到的資料包,每個資料包包含編號,時間戳,源地址,目標地址,協議,長度,以及資料包資訊。不同協議的資料包使用了不同的顏色區分顯示。
3. Packet Details Pane(資料包詳細資訊)
在資料包列表中選擇指定資料包,在資料包詳細資訊中會顯示資料包的所有詳細資訊內容。資料包詳細資訊皮膚是最重要的,用來檢視協議中的每一個欄位。各行資訊分別為
(1)Frame: 物理層的資料幀概況
(2)Ethernet II: 資料鏈路層乙太網幀頭部資訊
(3)Internet Protocol Version 4: 網際網路層IP包頭部資訊
(4)Transmission Control Protocol: 傳輸層T的資料段頭部資訊,此處是TCP
(5)Hypertext Transfer Protocol: 應用層的資訊,此處是HTTP協議
TCP包的具體內容
從下圖可以看到wireshark捕獲到的TCP包中的每個欄位。
4. Dissector Pane(資料包位元組區)
報文原始內容。
七、Wireshark過濾器設定
初學者使用wireshark時,將會得到大量的冗餘資料包列表,以至於很難找到自己需要抓取的資料包部分。
wireshark工具中自帶了兩種型別的過濾器,學會使用這兩種過濾器會幫助我們在大量的資料中迅速找到我們需要的資訊。
1.抓包過濾器
捕獲過濾器的選單欄路徑為 捕獲 --> 捕獲過濾器。用於在抓取資料包前設定。
如何使用呢?設定如下。
ip host 183.232.231.172表示只捕獲主機IP為183.232.231.172的資料包。獲取結果如下:
2. 顯示過濾器
顯示過濾器是用於在抓取資料包後設定過濾條件進行過濾資料包。
通常是在抓取資料包時設定條件相對寬泛或者沒有設定導致抓取的資料包內容較多時使用顯示過濾器設定條件過濾以方便分析。
執行ping www.baidu.com獲取的資料包列表如下
觀察上述獲取的資料包列表,含有大量的無效資料。這時可以透過設定顯示器過濾條件進行提取分析資訊。ip.addr == 183.232.231.172,並進行過濾。
上述介紹了抓包過濾器和顯示過濾器的基本使用方法。在組網不復雜或者流量不大情況下,使用顯示器過濾器進行抓包後處理就可以滿足我們使用。下面介紹一下兩者間的語法以及它們的區別。
八、wireshark過濾器表示式的規則
1. 抓包過濾器語法和例項
抓包過濾器型別Type(host、net、port)、方向Dir(src、dst)、協議Proto(ether、ip、tcp、udp、http、icmp、ftp等)、邏輯運算子(&&與、|| 或、!非)
(1)協議過濾
比較簡單,直接在抓包過濾框中直接輸入協議名即可。
tcp,只顯示TCP協議的資料包列表
http,只檢視HTTP協議的資料包列表
icmp,只顯示ICMP協議的資料包列表
(2)IP過濾
host 192.168.1.104
src host 192.168.1.104
dst host 192.168.1.104
(3)埠過濾
port 80
src port 80
dst port 80
(4)邏輯運算子&&與、|| 或、!非
src host 192.168.1.104 &&dst port 80 抓取主機地址為192.168.1.80、目的埠為80的資料包
host 192.168.1.104 || host 192.168.1.102 抓取主機為192.168.1.104或者192.168.1.102的資料包
!broadcast 不抓取廣播資料包
2. 顯示過濾器語法和例項
(1)比較運算子
比較運算子有
== 等於、!= 不等於、> 大於、< 小於、>= 大於等於、<=小於等於
(2)協議過濾
比較簡單,直接在Filter框中直接輸入協議名即可。注意:協議名稱需要輸入小寫。
tcp,只顯示TCP協議的資料包列表
http,只檢視HTTP協議的資料包列表
icmp,只顯示ICMP協議的資料包列表
(3) ip過濾
ip.src ==112.53.42.42 顯示源地址為112.53.42.42的資料包列表
ip.dst==112.53.42.42, 顯示目標地址為112.53.42.42的資料包列表
ip.addr == 112.53.42.42 顯示源IP地址或目標IP地址為112.53.42.42的資料包列表
(4)埠過濾
tcp.port ==80, 顯示源主機或者目的主機埠為80的資料包列表。
tcp.srcport == 80, 只顯示TCP協議的源主機埠為80的資料包列表。
tcp.dstport == 80,只顯示TCP協議的目的主機埠為80的資料包列表。
5) http模式過濾
http.request.method=="GET", 只顯示HTTP GET方法的。
(6)邏輯運算子為 and/or/not
過濾多個條件組合時,使用and/or。比如獲取IP地址為192.168.0.104的ICMP資料包表示式為ip.addr == 192.168.0.104 and icmp
(7)按照資料包內容過濾
假設我要以ICMP層中的內容進行過濾,可以單擊選中介面中的碼流,在下方進行選中資料。
右鍵單擊選中後出現如下介面
選中後在過濾器中顯示如下
後面條件表示式就需要自己填寫。如下我想過濾出data資料包中包含"abcd"內容的資料流。關鍵詞是contains,完整條件表示式為data contains "abcd"
看到這, 基本上對wireshak有了初步瞭解。
3. 常見用顯示過濾需求及其對應表示式
資料鏈路層:
篩選mac地址為04:f9:38:ad:13:26的資料包
eth.src == 04:f9:38:ad:13:26
篩選源mac地址為04:f9:38:ad:13:26的資料包----
eth.src == 04:f9:38:ad:13:26
網路層:
篩選ip地址為192.168.1.1的資料包
ip.addr == 192.168.1.1
篩選192.168.1.0網段的資料
ip contains "192.168.1"
傳輸層:
篩選埠為80的資料包
tcp.port == 80
篩選12345埠和80埠之間的資料包
tcp.port == 12345 &&tcp.port == 80
篩選從12345埠到80埠的資料包
tcp.srcport == 12345 &&tcp.dstport == 80
應用層:
特別說明: http中http.request表示請求頭中的第一行(如GET index.jsp HTTP/1.1) http.response表示響應頭中的第一行(如HTTP/1.1 200 OK),其他頭部都用http.header_name形式。
篩選url中包含.php的http資料包
http.request.uri contains ".php"
篩選內容包含username的http資料包
http contains "username"
九、Wireshark抓包分析TCP三次握手
1. TCP三次握手連線建立過程
Step1:客戶端傳送一個SYN=1,ACK=0標誌的資料包給服務端,請求進行連線,這是第一次握手;
Step2:服務端收到請求並且允許連線的話,就會傳送一個SYN=1,ACK=1標誌的資料包給傳送端,告訴它,可以通訊了,並且讓客戶端傳送一個確認資料包,這是第二次握手;
Step3:服務端傳送一個SYN=0,ACK=1的資料包給客戶端端,告訴它連線已被確認,這就是第三次握手。TCP連線建立,開始通訊。
2. Wireshark抓包獲取訪問指定服務端資料包
Step1:啟動wireshark抓包,開啟瀏覽器輸入www.baidu.com。
Step2:使用ping www.baidu.com獲取IP。
Step3:輸入過濾條件獲取待分析資料包列表 ip.addr == 183.232.231.172
圖中可以看到wireshark截獲到了三次握手的三個資料包。第四個包才是HTTPS的, 這說明HTTPS的確是使用TCP建立連線的。
第一次握手資料包
客戶端傳送一個TCP,標誌位為SYN,序列號為0, 代表客戶端請求建立連線。
資料包的關鍵屬性如下:
SYN :標誌位,表示請求建立連線
Seq = 0 :初始建立連線值為0,資料包的相對序列號從0開始,表示當前還沒有傳送資料
Ack =0:初始建立連線值為0,已經收到包的數量,表示當前沒有接收到資料
第二次握手的資料包
伺服器發回確認包, 標誌位為 SYN,ACK。將確認序號(Acknowledgement Number)欄位+1,即0+1=1。
資料包的關鍵屬性如下:
[SYN + ACK]: 標誌位,同意建立連線,並回送SYN+ACK
Seq = 0 :初始建立值為0,表示當前還沒有傳送資料
Ack = 1:表示當前端成功接收的資料位數,雖然客戶端沒有傳送任何有效資料,確認號還是被加1,因為包含SYN或FIN標誌位。(並不會對有效資料的計數產生影響,因為含有SYN或FIN標誌位的包並不攜帶有效資料)
第三次握手的資料包
客戶端再次傳送確認包(ACK) SYN標誌位為0,ACK標誌位為1。並且把伺服器發來ACK的序號欄位+1,放在確定欄位中傳送給對方,並且在Flag段寫ACK的+1:
資料包的關鍵屬性如下:
ACK :標誌位,表示已經收到記錄
Seq = 1 :表示當前已經傳送1個資料
Ack = 1 : 表示當前端成功接收的資料位數,雖然服務端沒有傳送任何有效資料,確認號還是被加1,因為包含SYN或FIN標誌位(並不會對有效資料的計數產生影響,因為含有SYN或FIN標誌位的包並不攜帶有效資料)。
就這樣透過了TCP三次握手,建立了連線。開始進行資料互動
十、Wireshark分析常用操作
調整資料包列表中時間戳顯示格式。調整方法為 檢視 -->時間顯示格式 --> 日期和時間。調整後格式如下:
一般Wireshark軟體也可以與各主流廠家的模擬器一起使用,更適合於專案準確配置。