【保姆级教学】抓包工具Wireshark使用教程

wireshark介绍

今天讲一下另一款底层抓包软件，之前写过两篇抓包软件
分别是

1. fiddler抓包【https://www.cnblogs.com/zichliang/p/16067941.html】
2. mitmdump抓包【https://www.cnblogs.com/zichliang/p/16067941.html】
   Wireshark (前身 Ethereal) 是一个网络包分析工具该工具主要是用来捕获网络数据包，并自动解析数据包为用户显示数据包的详细信息，供用户对数据包进行分析
   当然wireshark更多的偏向于硬件底层多一点。偏向于底层接口抓包。
   wireshark可以通过过滤器可以筛选出想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。
   那常见的协议过滤是哪几种呢？

常见协议包抓取

• ARP协议
• ICMP协议
• TCP协议
• UDP协议
• DNS协议
• HTTP协议

WireShark应用

1. 网络管理员会使用wireshark来检查网络问题
2. 网络安全工程师 使用Wireshark 来检查资讯安全相关问题
3. 软件测试工程师使用wireshark抓包，来分析自己测试的软件
4. 开发人员 使用Wireshark来为新的通讯协议除错
5. 从事socket编程的工程师会用wireshark来调试
6. 普通使用 使用Wireshark 来学习网络协议的相关知识
7. 还可以抓一些敏感信息....

下载及安装

Kali Linux系统自带 Wireshark 工具，而windows 需要手动安装wireshark
下面贴上下载官网：
https://www.wireshark.org/download.html
下载完之后一直点下一步安装即可。

wireshark的界面介绍

首先安装完了之后，我们打开抓包软件

可以看到有很多的网络接口，那我们应该如何选择呢？
win+r =====> cmd ====> ipconfig

选择我们现在正在上网的网卡
这里用的wifi 就直接抓wlan这个网卡了。
直接鼠标双击点进去

可以看到有很多的数据包

整体来说，界面主要分为以下几部分：
菜单栏：Wireshark的标准菜单栏。
工具栏：常用功能的快捷图标按钮，提供快速访问菜单中经常用到的项目的功能。
过滤器：提供处理当前显示过滤得方法。
Packet List面板：显示每个数据帧的摘要。这里采用表格的形式列出了当前捕获文件中的所有数据包，其中包括了数据包序号、数据包捕获的相对时间、数据包的源地址和目标地址、数据包的协议以及在数据包中找到的概况信息等。
Packet Details面板：分析数据包的详细信息。这个面板分层次地显示了一个数据包中的内容，并且可以通过展开或是收缩来显示这个数据包中所捕获的全部内容。
Packet Bytes面板：以十六进制和ASCII码的形式显示数据包的内容。这里显 示了一个数据包未经处理的原始样子，也就是在链路上传播时的样子。
状态栏：包含有专家信息、注释、包的数量和Profile。

在此之前了解下抓包的两种模式。

混杂模式与普通模式

不勾选就是普通模式
那什么是混杂模式 和普通模式呢？

• 混杂模式: 混杂模式就是接收所有经过网卡的数据包，包括不是发给本机的包，即不验证MAC地址
• 普通模式: 普通模式下网卡只接收发给本机的包 (包括广播包)传递给上层程序，其它的包一律丢弃

一般来说，混杂模式不会影响网卡的正常工作，多在网络监听工具上使用

菜单栏

文件：打开文件集、保存包、导出HTTP对象
编辑：清除所有标记的包、忽略包和时间属性
视图：查看/隐藏工具栏和面板、编辑Time列、重设颜色
跳转：跳转到某个设置好的分组列表
捕获：用于设置模式和开始与停止
分析：创建显示过滤器宏、查看启用协议、保存关注解码
统计：创建图表并打开各种协议统计窗口
电话：执行所有语音功能（图表、图形、回放）
无线：用于设置无线蓝牙等抓包的功能
工具：根据包内容构建防火墙规则、访问Lua脚本工具
帮助：学习wireshark全球存储和个人配置文件

工具栏

从左至右

• 开始捕获
• 停止捕获
• 重新开始当前捕获
• 捕获选项
• 打开已保存的捕获文件
• 保存捕获文件
• 关闭捕获文件
• 重载捕获文件
• 查找一个分组
• 转到前一个文组
• 转到后一个分组
• 转到特定分组
• 转到首个分组
• 转到最新分组
• 在实时捕获时，自动滚动屏幕到最新的分组.
• 放大主窗口文本
• 收缩主窗口文本
• 使主窗口文本回归正常大小
• 调整分组列表以适应内容

过滤器

当用户面向大量需要处理的数据时，可以通过使用显示过滤器快速的过滤自己需要的数据。
下文会详细介绍，搜索即可过滤。

Packet List面板

No. ：包的编号 ————————————默认wireshark是按照数据包编号从低到高排序，该编号不会发生改变，即使使用了过滤也同样如此
Time：包的时间戳。时间格式可以自己设置
Source 和Destination ：包的源地址和目的地址
Protocol：包的协议类型
Length：包的长度
Info：包的附加信息

右击还有其他的一些配置

packet details

在数据包列表中选择指定数据包，在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的，用来查看协议中的每一个字段。各行信息分别为
（1）Frame: 物理层的数据帧概况
（2）Ethernet II: 数据链路层以太网帧头部信息
（3）Internet Protocol Version 4: 互联网层IP包头部信息
.... （这里点点点表示 不同的包所展示的是不同的内容）
分层的显示了一个数据包中的内容，并且可以通过展开或者收缩来显示这个数据包中所捕获的全部内容
还可以看到一些详细信息。

packet bytes

这个板块 分为两部分 左边这部分是16进制的数据，右边是ASCII格式

当在packet details面板中选择任意一个字段后，在packet bytes面板中包含该字段的字节也高亮显示

最底层状态栏

分为一些杂项和地址栏。个人感觉作用不大。

过滤器的使用。

刚刚点击了停止抓包 要是重新开启抓包点击左上角这个按钮

如果想保存就点击第一个，一般做测试都是不保存的。
然后就可以重新开始抓包了。

然后就正式开始过滤抓包了，我们想抓http相关的包====> 直接输入http或者tcp


可能这样显得不太直观。

举个三次握手四次挥手的例子。
当输入 tcp.flags.ack == 0 即代表底层握手（链接成功）
当输入 tcp.flags.syn == 1 即代表底层握手（数据发送成功）
不懂的可以自己去百度什么是三次握手四次挥手。

所抓到也都是底层链接成功和发送成功的包。


当然 命令和命令之间也可以通过and 或者or来完成与或非的关系。


即使讲到了链接和发送的命令 再讲一下发送成功结束的命令tcp.flags.fin==1

其中展示了本机向此服务器发送成功的数据包
之前所讲到的所有协议包 都可以在这里过滤，比如 udp，http，tcp 等等等

IP过滤

刚刚讲了可以通过协议过滤 那我们再抓取网站数据的时候能不能通过IP过滤呢。
搜下我们本地发送了那些包
ip.src_host==192.168.2.51

可以清楚的看到source来源就都是我们的主机了
搜下目标地址是百度的包 百度的IP地址是180.101.50.188
ip.dst_host == 180.101.50.188

还有一个命令 ip.addr 代表着 只有IP是xxx 就全部显现出来，不管是接收 还是发送

wireshark解析ARP协议

在了解使用wireshark分析arp协议之前，我们先来了解下，什么是是arp协议？

通俗点说，在局域网中通信时使用的是MAC地址，而不是常见的IP地址。
所以在局域网的两台主机间通信时，必须要知道对方的MAC地址，这就是ARP协议要做的事：将IP地址转换为MAC地址。

光看这个讲arp可能太笼统了，我们肯定之前听过一个名称——arp欺骗，那什么是arp欺骗呢？

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量，
攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。
当局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。
由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。这就造成了无法访问外网的问题，
由于很多时候网关还控制着我们的局域网LAN上网，所以这时我们的LAN访问也就出现问题了

这里也介绍完了
我们先来抓下arp的包 ，直接在过滤器中搜索ARP，并且随意打开一个包

• Hardware type（网卡类型）：以太网（Ethernet）是1。我们常见的网络都是以太网
• Protocol type：查询中提供的网络地址的类型，IPv4是0x0800。
• Harware size：网卡地址长度，以太网网卡是6字节。
• Protocol size：查询中提供的网络地址的的长度，IPv4是4字节。
• Opcode：查询包值为1，响应包值为2。
• Sender MAC address：发送者的Mac地址。
• Sender IP address：发送者的IP地址。
• Target MAC address：接收者的Mac地址，指向性查询包是MAC地址表中记录的mac，广播性查询包是00:00:00:00:00:00。（注意区分ARP头和Eth头，指向性查询包Eth头的dst mac是MAC地址表中记录的mac，而广播性查询包是ff:ff:ff:ff:ff:ff）。
• Target protocol address：要查询目标的mac地址的ip。

再来看一下回复包

故： 由一个request 和一个reply 组成的一组arp包，有请求有回复组成的arp响应。

WireShark解析ICMP协议

使用Ping命令用来测试网络的可达性。从而接受ICMP的报文包
首先我们ping下自己的网关

然后找下wireshark中刚刚抓到的包

重点看下ICMP里面的内容

type：报文类型，8代表请求，0代表应答；
code：为0，表示为回显应答成功；
checksum：表示认证这个ICMP报文是否被篡改过。校验完整性。
checksum Status： 表示校验的结果，Good代表没问题。
identifier：表示标识符ID
Sequence Number： 表示序列号
Data: 具体发送到数据包，当然肯定是通过加密的。

这是请求数据，还有一组回复数据

可以看到。标示符和序列号都是一样的

wireshark 解析TCP协议

即两台电脑或者是两台机器之间的相互链接>>>中间会经历一个三次握手 四次挥手的过程。

TCP 三次握手

如下图所示是示意图>>>

我们随意打开一个网页：百度 IP是180.101.50.188

如上图所示 有syn的tcp链接包

然后我们来看下TCP协议的具体的内容

封包信息：

1. Frame: 物理层的数据帧概况
2. Ethernet II: 数据链路层以太网帧头部信息
3. Internet Protocol Version 4: 网络层IP包头部信息
4. Transmission Control Protocol: 传输层TCP数据段头部信息

传输层TCP数据段信息

1. 源端口：source Port: 44922
2. 目的端口：Destination Port: 19999
3. 序号：sequence Number: o
4. 确认号：Acknowledgment number: o
5. 报头长度：Header Length: 4o bytes
6. 标志位：Flags: ox002 (SYN)
7. 校验和：Checksum: oxac81

当然这么看肯定不太直观，还要结合这回复包去看每一条信息。所以我们可以打开流数据包来查看tcp协议报文


选择限制显示过滤器 选择百度的地址

这样看起来就非常的直观了。

TCP断开链接 四次挥手

既然有链接，肯定就有断开链接 天下无不散之筵席嘛，不可能一直互相连接的。
而断开链接则有另一个名词—— 四次挥手

和三次握手一样，我们直接关闭百度这个网站，
然后去wireshark中搜索180.101.50.242这个ip（由于百度的地址会改变，我们需要实时查看下百度的ip）

首先就会发起
第一步：客户端打算断开连接
第二步：服务器收到连接释放报文段(FIN报文)后，就向客户端发送ACK应答报文
第三步：服务器也打算断开连接，向客户端发送连接释放(FIN)报文段
第四步：客户端收到来自服务器的连接释放(FIN)报文段后，会向服务器发送一个ACK应答报文段，以连接释放(FIN)报文段的确认序号 ack 作为ACK应答报文段的序列号 seq，以连接释放(FIN)报文段的序列号 seq+1作为确认序号ack。

wireShark 解析HTTP协议

http的底层本质上还是TCP协议。
话不多说，直接请求百度地址。
这里百度地址不是www.baidu地址

然后打开抓包软件 搜索tcp

还可以查看具体信息

总结

总的来说，WireShark非常强大，不仅可以抓各种包，还能对局域网的某些数据进行监控抓包分析。非常强大。
不过要慎用。