Wireshark抓包学习

发布于 2021-11-25  10 次阅读


前言

计网最后一次实验,顺便记录下Wireshark的使用,Wireshark其实是非常简单的,比较重点的应该是过滤器表达式书写

学习有官方的文档,地址我贴在下方:

Wireshark User’s Guide

Wireshark Wiki

界面

初始界面

image-20211125145319771

安装启动Wireshark后,会自动获取本机的所有接口。在这些接口列表中选择一个接口名就开始在此接口上抓包了。如果界面捕获这部分是空白,注意很可能是因为你是win10以上系统且没有安装win10pcap兼容性安装包(win10pcap兼容性安装包下载)

  1. 首先我们需要选择一个网卡,可以打开cmd,输入ipconfig查看当前使用的网卡,这里我是拨号上网,地址如下:

image-20211125150533428

​ ppp适配器,是一个逻辑的虚拟设备,ppp的意思是Point-to-Point Protocol——点对点协议,上网拨号用的就是PPPOE,是将点对点协议(PPP)封装在以太网(Ethernet)框架中的一种网络隧道协议。简单来说,ppp适配器就是用于将你的电脑通过网线以及电话线和运营商提供上网的服务器连接起来,以此获取运营商分配的IP地址的,所以它给的IP就是在这个运营商服务器所提供的网络中区分你当前上网帐号(当前电脑)的唯一标识。(由于各个运营商之间是协商好瓜分ip的,所以这个ip也就是因特网中的唯一ip)

​ 以太网适配器,就是我们常说的“网卡”,所以就很清楚了,网卡是用于将你的电脑通过网线和你的交换机连接起来,所以它给的IP就是在你的交换机提供的网络中区分你的电脑的唯一标识。(注意,使用路由器后ip地址自动获取,所以不需要拨号,只有这个IP)

ipconfig/all详解

可以直接在下方缩略图里选择

image-20211125150616892

也可以在捕获选项中选择

image-20211125150700093

image-20211125150841971

解释下这里的混杂模式(Promiscuous Mode),是指网卡能够接受到所有经过它的数据流,不论数据流的格式、目的地址是否是它都会捕获,而正常情况下网卡只会把发给本机的包(包括广播包)传递给上层程序。

开始抓包

选定网卡后点击开始

image-20211125155537608

进入抓包状态,可以看到有不同颜色的数据包记录

image-20211125155903090

视图中的着色规则有讲解含义:

image-20211125155942923

数据包太多,为避免其他无用的数据包影响分析,可以通过在过滤栏设置过滤条件进行数据包列表

例如首先在cmd中ping目的网站

image-20211125160901487

然后在Wireshark过滤器设置过滤条件进行数据包列表过滤

image-20211125161013510

双击数据信息会独立出一个窗口

image-20211125162248561

点击过滤器该栏的\times号就会退出显示所有数据包界面

一个示例

实验要求查看http://news.hit.edu.cn的IP地址,发现通过ping指令不能获取,这也是比较正常的情况,可能公共网站的防火墙设定不响应(ping指令)ICMP请求。下面是通过Wireshark获取:

image-20211125164556264

浏览器中输入网址跳转后,在Wireshark里Ctrl + F搜索相关字符串,网站名含有hit,根据这个信息搜索。

结果奇怪的是,只有DNS协议的记录,竟然找不到http报文。

image-20211125170225608

才发现用的是ipv6地址,所以按上面方法无法看到。

另外说一句,现在已经无法通过给其他人打QQ电话获取IP,腾讯在对方没接听电话前都中转到服务器,只有双方建立连接后,才更改为c2c模式。

image-20211125175931888

结语

关于过滤器表达式后续更新

施工ing……


随心所至