今天讲一下另一款底层抓包软件,之前写过两篇抓包软件
分别是
Kali Linux系统自带 Wireshark 工具,而windows 需要手动安装wireshark
下面贴上下载官网:
https://www.wireshark.org/download.html
下载完之后一直点下一步安装即可。
首先安装完了之后,我们打开抓包软件
可以看到有很多的网络接口,那我们应该如何选择呢?
win+r =====> cmd ====> ipconfig
选择我们现在正在上网的网卡
这里用的wifi 就直接抓wlan这个网卡了。
直接鼠标双击点进去
可以看到有很多的数据包
整体来说,界面主要分为以下几部分:
菜单栏:Wireshark的标准菜单栏。
工具栏:常用功能的快捷图标按钮,提供快速访问菜单中经常用到的项目的功能。
过滤器:提供处理当前显示过滤得方法。
Packet List面板:显示每个数据帧的摘要。这里采用表格的形式列出了当前捕获文件中的所有数据包,其中包括了数据包序号、数据包捕获的相对时间、数据包的源地址和目标地址、数据包的协议以及在数据包中找到的概况信息等。
Packet Details面板:分析数据包的详细信息。这个面板分层次地显示了一个数据包中的内容,并且可以通过展开或是收缩来显示这个数据包中所捕获的全部内容。
Packet Bytes面板:以十六进制和ASCII码的形式显示数据包的内容。这里显 示了一个数据包未经处理的原始样子,也就是在链路上传播时的样子。
状态栏:包含有专家信息、注释、包的数量和Profile。
在此之前了解下抓包的两种模式。
不勾选就是普通模式
那什么是混杂模式 和普通模式呢?
一般来说,混杂模式不会影响网卡的正常工作,多在网络监听工具上使用
文件:打开文件集、保存包、导出HTTP对象
编辑:清除所有标记的包、忽略包和时间属性
视图:查看/隐藏工具栏和面板、编辑Time列、重设颜色
跳转:跳转到某个设置好的分组列表
捕获:用于设置模式和开始与停止
分析:创建显示过滤器宏、查看启用协议、保存关注解码
统计:创建图表并打开各种协议统计窗口
电话:执行所有语音功能(图表、图形、回放)
无线:用于设置无线蓝牙等抓包的功能
工具:根据包内容构建防火墙规则、访问Lua脚本工具
帮助:学习wireshark全球存储和个人配置文件
从左至右
当用户面向大量需要处理的数据时,可以通过使用显示过滤器快速的过滤自己需要的数据。
下文会详细介绍,搜索即可过滤。
No. :包的编号 ————————————默认wireshark是按照数据包编号从低到高排序,该编号不会发生改变,即使使用了过滤也同样如此
Time:包的时间戳。时间格式可以自己设置
Source 和Destination :包的源地址和目的地址
Protocol:包的协议类型
Length:包的长度
Info:包的附加信息
右击还有其他的一些配置
在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。各行信息分别为
(1)Frame: 物理层的数据帧概况
(2)Ethernet II: 数据链路层以太网帧头部信息
(3)Internet Protocol Version 4: 互联网层IP包头部信息
.... (这里点点点表示 不同的包所展示的是不同的内容)
分层的显示了一个数据包中的内容,并且可以通过展开或者收缩来显示这个数据包中所捕获的全部内容
还可以看到一些详细信息。
这个板块 分为两部分 左边这部分是16进制的数据,右边是ASCII格式
当在packet details面板中选择任意一个字段后,在packet bytes面板中包含该字段的字节也高亮显示
分为一些杂项和地址栏。个人感觉作用不大。
刚刚点击了停止抓包 要是重新开启抓包点击左上角这个按钮
如果想保存就点击第一个,一般做测试都是不保存的。
然后就可以重新开始抓包了。
然后就正式开始过滤抓包了,我们想抓http相关的包====> 直接输入http或者tcp
可能这样显得不太直观。
举个三次握手四次挥手的例子。
当输入 tcp.flags.ack == 0
即代表底层握手(链接成功)
当输入 tcp.flags.syn == 1
即代表底层握手(数据发送成功)
不懂的可以自己去百度什么是三次握手四次挥手。
所抓到也都是底层链接成功和发送成功的包。
当然 命令和命令之间也可以通过and 或者or来完成与或非的关系。
即使讲到了链接和发送的命令 再讲一下发送成功结束的命令tcp.flags.fin==1
其中展示了本机向此服务器发送成功的数据包
之前所讲到的所有协议包 都可以在这里过滤,比如 udp,http,tcp 等等等
刚刚讲了可以通过协议过滤 那我们再抓取网站数据的时候能不能通过IP过滤呢。
搜下我们本地发送了那些包ip.src_host==192.168.2.51
可以清楚的看到source来源就都是我们的主机了
搜下目标地址是百度的包 百度的IP地址是180.101.50.188ip.dst_host == 180.101.50.188
还有一个命令 ip.addr 代表着 只有IP是xxx 就全部显现出来,不管是接收 还是发送
在了解使用wireshark分析arp协议之前,我们先来了解下,什么是是arp协议?
通俗点说,在局域网中通信时使用的是MAC地址,而不是常见的IP地址。
所以在局域网的两台主机间通信时,必须要知道对方的MAC地址,这就是ARP协议要做的事:将IP地址转换为MAC地址。
光看这个讲arp可能太笼统了,我们肯定之前听过一个名称——arp欺骗,那什么是arp欺骗呢?
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,
攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
当局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息包时,严重的网络堵塞就会开始。
由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然无法正常上网。这就造成了无法访问外网的问题,
由于很多时候网关还控制着我们的局域网LAN上网,所以这时我们的LAN访问也就出现问题了
这里也介绍完了
我们先来抓下arp的包 ,直接在过滤器中搜索ARP,并且随意打开一个包
再来看一下回复包
故: 由一个request 和一个reply 组成的一组arp包,有请求有回复组成的arp响应。
使用Ping命令用来测试网络的可达性。从而接受ICMP的报文包
首先我们ping下自己的网关
然后找下wireshark中刚刚抓到的包
重点看下ICMP里面的内容
type:报文类型,8代表请求,0代表应答;
code:为0,表示为回显应答成功;
checksum:表示认证这个ICMP报文是否被篡改过。校验完整性。
checksum Status: 表示校验的结果,Good代表没问题。
identifier:表示标识符ID
Sequence Number: 表示序列号
Data: 具体发送到数据包,当然肯定是通过加密的。
这是请求数据,还有一组回复数据
可以看到。标示符和序列号都是一样的
即两台电脑或者是两台机器之间的相互链接>>>中间会经历一个三次握手 四次挥手的过程。
如下图所示是示意图>>>
我们随意打开一个网页:百度 IP是180.101.50.188
如上图所示 有syn的tcp链接包
然后我们来看下TCP协议的具体的内容
封包信息:
传输层TCP数据段信息
当然这么看肯定不太直观,还要结合这回复包去看每一条信息。所以我们可以打开流数据包来查看tcp协议报文
选择限制显示过滤器 选择百度的地址
这样看起来就非常的直观了。
既然有链接,肯定就有断开链接 天下无不散之筵席嘛,不可能一直互相连接的。
而断开链接则有另一个名词—— 四次挥手
和三次握手一样,我们直接关闭百度这个网站,
然后去wireshark中搜索180.101.50.242这个ip(由于百度的地址会改变,我们需要实时查看下百度的ip)
首先就会发起
第一步:客户端打算断开连接
第二步:服务器收到连接释放报文段(FIN报文)后,就向客户端发送ACK应答报文
第三步:服务器也打算断开连接,向客户端发送连接释放(FIN)报文段
第四步:客户端收到来自服务器的连接释放(FIN)报文段后,会向服务器发送一个ACK应答报文段,以连接释放(FIN)报文段的确认序号 ack 作为ACK应答报文段的序列号 seq,以连接释放(FIN)报文段的序列号 seq+1作为确认序号ack。
http的底层本质上还是TCP协议。
话不多说,直接请求百度地址。
这里百度地址不是www.baidu地址
然后打开抓包软件 搜索tcp
还可以查看具体信息
总的来说,WireShark非常强大,不仅可以抓各种包,还能对局域网的某些数据进行监控抓包分析。非常强大。
不过要慎用。