Wirehsark协议分析实战

入门

软件概述

• 抓包软件的功能是抓取通信过程中通信双方传递的数据包，并尽可能显示出最为详细的网络封包资料。
• Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。
• Wireshark是目前全球使用最广泛的开源抓包软件（前身为Ethereal），由Gerald Combs编写并于1998年以GPL开源许可证发布。

软件功能

• 如果是安全工程师，可以通过该软件对黑客渗透攻击快速定位。
• 如果是网络工程师，可以通过该软件对网络进行故障排错。
• 如果是软件工程师，可以通过该软件分析底层通信机制等。

进阶

抓包过滤器语法

1. 类型Type：host、net、port
2. 方向Dir：src、dst
3. 协议protocol：ether、ip、tcp、udp、http、ftp等
4. 逻辑运算符：与&&、||或、！非
5. capture filters过滤器语法：
   • 例：src host 192.168.0.1 && dst host 192.168.0.2 &&dst port 80（抓取源地址为192.168.0.1，目的地址为192.168.0.2，目的端口为80端口的数据包。）
   • 例：host 192.168.1.1 || host 192.168.1.2 （抓取主机地址为192.168.1.1或者192.168.1.2的流量包）
   • 例：!broadcast 抓取非广播流量 （net 192.168.0.0 抓取该网段的流量）
6. 显示过滤器语法：（重点）
   • 比较操作符：==、！=、>、<、>=、<=
   • **逻辑操作符：**and、or、not、xor（有且只有一个条件被满足）
   • **ip地址：**ip.addr、ip.src、ip.dst
   • **端口过滤：**tcp.port、tcp.srcport、tcpdstport、tcp.flag.syn、tcp.flag.ack
   • **协议过滤：**arp、ip、icmp、udp、tcp、dhcp、dns

wireshark流量统计功能

1. 数据流追踪

   ​ 将TCP、UDP、SSL等数据流进行重组并完整呈现出来，可以通过Analyze-->Follow TCP stream来分析跟踪TCP流，或者点击对应数据包右击选择追踪数据流来实现。

2. 协议分层统计

   ​ 统计通信流量中不同协议占用的百分比，通过这个工具可以对全网流量有直观的了解，到底整个网络哪些流量占用最多哪些流量占用最少等。可以通过Statistics-->Protocal Hierarchy来开启分层统计。

3. 网络会话统计

   ​ 统计通信会话之间接受和发送的数据包和字节数，通过这个工具可以找出网络中哪个会话（IP地址或端口号）最占用带宽，可以做进一步的网络策略。可以通过Statistics-->Conversations来开启网络会话统计。

4. 网络节点统计

   ​ 统计通信会话中每个节点接收和发送的数据包和字节数，通过这个工具可以找出网络中哪个节点（IP地址或端口号）最占用带宽。可以通过Statistcs-->Endpoints来开启网络节点统计。

5. IO图标分析

   ​ 对网络中的吞吐流量进行实时图形显示。可以通过Statistics-->IO Graph打开IO图表分析。