從這一篇開始,我把標題改了,以後會按這種格式以“圖文”或“微頭條”的方式與大家分享,謝謝支持。
Wireshark下載,安裝和基本使用
關於Wireshark不準備說太多,基本操作大家都在網上看得多了,只對關鍵知識點進行講解,其他的會在後面的實戰部分根據具體應用進行交流。Wireshark之所以流行,源於該工具是免費開源的網絡協議分析軟件,功能強大,安裝使用方便,不受版權限制,深得網工青睞,百強名企大咖,剛入道的新手都在用,優點不多羅列,唯一“缺點”就是圖形分析弱點,但這些並不影響廣大Fans的愛戴和使用。
1、下載,Wireshark官網下載即可。
2、安裝就不在演示了,運行安裝程序後一直下一步就可以了,默認選擇即可。
3、啟動Wireshark,選擇抓包需要的網卡,雙擊即可進行數據包的抓取了。當然也可以從菜單和工具欄進行選擇,還可以選擇過濾條件等。
4、Wireshark的界面佈局。
標題欄:顯示正在使用的網絡適配器及打開或正在捕獲中的數據文件名稱等相關的信息。
菜單欄:這個就不用多說了,與windows桌面軟件一樣,每一項菜單都有“物以類聚”的相關功能,這裡不一一做詳述: 在協議分析和抓包實戰的過程中,結合用到的技術,再進行詳解,這樣會更深刻一些。
工具欄:菜單的另一種表現形式,快捷方式,看個人使用習慣,個人用的只有“開始捕獲”和“停止捕獲”這兩個按鈕多些,其他很少用,用快捷鍵比用這個來的快,感覺有些“雞肋”。
狀態欄:顯示數據文件的狀態和信息。
過濾器:是在抓包過程中或後續協議分析中經常用的東西,重點在於如何去用,個人總結:捕獲過濾器在沒有明確抓取目標時最好不要用, 個人用的比較少,經常用的是顯示過濾器,根據自己的思路進行過濾分析。不管用哪一種過濾器,都要用到條件表達式,這是用好過濾器的重中之重,基本的規則要掌握,比如想找ip地址為192.168.100.10的數據包,就要用ip.addr == 192.168.100.10,常用的規則一定要牢記。
抓取到的數據包主要在三個區域顯示。
列表區:主要根據設置項列出所捕獲的數據包,默認有序號,捕獲時間,源地址,目的地址,協議類型,包長度,信息部分等,這些列表項是可以增減的,根據分析過程中的具體情況進行定製,也可以根據需要改變顯示的樣式。
細節區:顯示數據包的詳細信息。如果你在列表區選擇了一條報文,那麼就會在這個區域顯示這條報文的詳情,排列格式如圖中所示,分層詳細顯示這些報文的協議類型,封裝情況,標記,標識等細節。是我們進行網絡協議數據包分析重要的部分,在學習中就加以重視。
字節區:用十六進制顯示的數據包內容,有點看不懂,不容易被理解,數據包在網絡傳遞過程中就是以這種樣式存在的,我們稱作為 原始數據。具體怎麼去識別這些數據信息,後面會根據協議報頭來“認識”它。
好了,到現在我們已經基本瞭解了Wireshark這款網絡協議分析軟件的下載,安裝和使用的基本情況,算是“認識”了,但是具體應用到實踐中並不是那麼簡單,所以,後面我會根據具體的協議類型和實戰案例來和大家共同學習分享抓包分析所帶來的“快感”。
以上只是Windows操作系統的部分,Linux或Mac OS系統部分也請有這方面使用經驗的朋友在評論加以詳述,便於需要的朋友學習。
