一、简介
Wireshark是一款非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。
为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。
wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容
二、安装
2.1、安装地址
Wireshark开源地址:https://github.com/wireshark/wireshark
Wireshark下载地址:https://www.wireshark.org/download
三、抓包示例
3.1、Wireshark抓包简单流程
1)主界面
2) 点击【捕获选项】的图标一步到位,勾选【en0】网卡(这里需要根据各自电脑网卡使用情况选择,简单的办法可以看使用的IP对应的网卡),启动抓包。
3)wireshark启动后,wireshark处于抓包状态中。
4)终端ping www.baidu.com,过在过滤栏设置过滤条件进行数据包列表过滤,以免抓取无用包影响查看,这里就以ping baidu.com为例,只过滤百度的ip,设置如下:
ip.addr == 39.156.66.14 and icmp
表示只显示ICPM协议且源主机IP或者目的主机IP为39.156.69.79的数据包。注意:协议名称icmp要小写。
关于Wireshark抓包流程就是如上步骤。
3.2、Wireshark抓包界面介绍
说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏【视图】-> 【着色规则】。如下所示:
WireShark 主要分为这几个界面:
1)Display Filter(显示过滤器), 用于设置过滤条件进行数据包列表过滤。菜单路径:【分析】-> 【Display Filters】。
2)Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。 不同协议的数据包使用了不同的颜色区分显示。
3)Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。各行信息分别为:
(1)Frame: 【物理层】的数据帧概况
(2)Ethernet II: 【数据链路层】以太网帧头部信息
(3)Internet Protocol Version 4: 互联网层IP包头部信息,属于【网络层】
(4)Transmission Control Protocol: 【传输层】T的数据段头部信息,此处是TCP
(5)Hypertext Transfer Protocol: 【应用层】的信息,此处是HTTP协议TCP包的具体内容
4)Dissector Pane(数据包字节区)。
3.3、Wireshark过滤器设置
wireshark工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
1)抓包过滤器
捕获过滤器的菜单栏路径为【捕获】 -> 【捕获过滤器】。用于在抓取数据包前设置。
如何使用?可以在抓取数据包前设置如下:
ip host www.baidu.com表示只捕获主机host为www.baidu.com的数据包。获取结果如下:
2)显示过滤器
显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛或者没有设置导致抓取的数据包内容较多时使用显示过滤器设置条件过滤以方便分析。
然后可以通过设置显示器过滤条件进行提取分析信息。ip.addr == www.baidu.com and icmp。并进行进一步过滤(39.156.66.14为百度IP)。
上述介绍了抓包过滤器和显示过滤器的基本使用方法。在组网不复杂或者流量不大情况下,使用显示器过滤器进行抓包后处理就可以满足我们使用。
3.4、以上两者间的语法以及它们的区别
1、抓包过滤器语法和实例
抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&& 与、|| 或、!非)
1)协议过滤(协议名称需要输入小写)
tcp,只显示TCP协议的数据包列表
http,只查看HTTP协议的数据包列表
icmp,只显示ICMP协议的数据包列表2)IP过滤
host 192.168.182.104
src host 192.168.182.104
dst host 192.168.182.1043)端口过滤
port 80
src port 80
dst port 804)逻辑运算符&& 与、|| 或、!非
src host 192.168.182.104 && dst port 80 抓取主机地址为192.168.182.80、目的端口为80的数据包
host 192.168.182.104 || host 192.168.182.102 抓取主机为192.168.182.104或者192.168.182.102的数据包
! broadcast 不抓取广播数据包2、显示过滤器语法和实例
1)比较操作符
比较操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。
2)协议过滤
tcp,只显示TCP协议的数据包列表
http,只查看HTTP协议的数据包列表
icmp,只显示ICMP协议的数据包列表3)ip过滤
ip.src ==192.168.182.104 显示源地址为192.168.182.104的数据包列表
ip.dst==192.168.182.104, 显示目标地址为192.168.182.104的数据包列表
ip.addr == 192.168.182.104 显示源IP地址或目标IP地址为192.168.182.104的数据包列表4)端口过滤
tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。
tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。
tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表。4)Http模式过滤
http.request.method=="GET", 只显示HTTP GET方法的。5)逻辑运算符为 and/or/not
过滤多个条件组合时,使用and/or。比如获取IP地址为183.232.231.174的ICMP数据包表达式为ip.addr == 183.232.231.174 and icmp四、Wireshark抓包分析TCP三次握手
1)TCP三次握手连接建立过程:
- Step1:客户端发送一个SYN=1,ACK=0标志的数据包给服务端,请求进行连接,这是第一次握手;
- Step2:服务端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据包给发送端,告诉它,可以通讯了,并且让客户端发送一个确认数据包,这是第二次握手;
- Step3:服务端发送一个SYN=0,ACK=1的数据包给客户端端,告诉它连接已被确认,这就是第三次握手。TCP连接建立,开始通讯。
2)wireshark抓包获取访问指定服务端数据包
- Step1:启动wireshark抓包,打开浏览器输入www.huawei.com
- Step2:使用ping www.huawei.com获取IP
- Step3:输入过滤条件获取待分析数据包列表ip.addr == 183.201.204.122 and tcp,这里只抓取tcp的包,要不然其它信息有点多不好看。
图中可以看到wireshark截获到了三次握手的三个数据包。但是从上图看不止一个三次握手;其实还有一个重要的信息,如果眼尖的同学,会发现后面还有两次TLS的握手,没错,因为是通过https去发请求的,三次握手后就是TLS的握手了。虽然上面是通过http访问,但是会跳到https,流程图大致如下:
以下就是TLS握手过程
HTTPS协议其实就是HTTP over TSL,TSL(Transport Layer Security) 传输层安全协议是https协议的核心。TSL可以理解为SSL (Secure Socket Layer)安全套接字层的后续版本。
通过非对称加密算法(公钥加密,私钥解密,私钥加密,公钥解密),使用第一随机数和第二随机数+预主密钥=会话密钥,之后当前会话就使用会话密钥进行对称加密了,因为非对称加密资源占用很大
在流程中我们一共看到了6个数据包,分别为:
(1) client hello
在这步中,client向server发起建连请求,并告知server以下信息:
client端支持的TLS协议
密钥协商过程需要的随机数(第一随机数)
客户端支持的16种加密套件server端接收到client的请求后,对其进行回应,包括:
服务端使用的TLS协议
服务端发送给客户端的随机数(第二随机数)
服务端使用的加密套件(3) server communicate
certificate:server端发送证书,客户端浏览器可以判断是否可信
server key exchange:服务器发送公钥到客户端
certificate request:client端证书请求
server hello done:server端 发送完毕 (2)(3)两步的操作可以总结为:server端对client端做出了“我们使用xx算法协商会话主密钥,这是我的证书,这是我的协商参数,请把你的证书发给我”的回应。
(4) client communicate
生成会话密钥:客户端生成一个随机数(预主密钥),使用服务器的公钥将预主密钥加密,然后发送给服务器。此时使用的是非对称加密,以确保只有服务器能够解密这个消息。
client Key Exchange生成第三个随机数也称为预主密钥(Pubkey),用服务端公钥加密后发生成会话密钥送给服务器
change Ciper Spec 告诉服务器往后的数据就用这种临时生成的会话密钥进行加密
Encrypted Handshake Message已经没有问题了,加密开始(6) server handshake established
服务器解密预主密钥:服务器使用其私钥解密客户端发送的预主密钥。
生成对称密钥:客户端和服务器利用协商好的随机数和预主密钥生成一组对称密钥(会话密钥)。这个密钥用于后续会话中加密和解密数据。
Encrypted Handshake Message server端已经没有问题了,非对称加密开始server端接收到数据包后,会开始使用会话密钥对数据包进行对称加密传输。
五、Wireshark分析tcpdump抓包结果
tcpdump 的抓包保存到文件的命令参数是-w xxx.cap
# 抓eth1的包
tcpdump -i eth1 -w /tmp/xxx.cap
# 抓 192.168.1.123的包
tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap
# 抓192.168.1.123的80端口的包
tcpdump -i eth1 host 192.168.1.123 and port 80 -w /tmp/xxx.cap
# 抓192.168.1.123的80端口和110和25以外的其他端口的包
tcpdump -i eth1 host 192.168.1.123 and ! port 80 and ! port 25 and ! port 110 -w /tmp/xxx.cap【文件】->【打开】选择要解析的文件。最后点击右边的箭头开始解析。
直接把文件拉进去也可以
发布者:LJH,转发请注明出处:https://www.ljh.cool/39516.html
