Wireshark数据分析实战
概述
Wireshark——网络工程师的“示波器”
Wireshark关键概念
- Wireshark 是网络包分析工具。网络包分析程序的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。
- Wireshark 不会处理网络事务,它仅仅是“测量”(监视)网络。Wireshark 不会发送网络包或做其它交互性的事情。
- Wireshark 是开源软件方案,不用担心版权问题。
Wireshark常见应用
- 网络管理员用来解决网络问题
- 网络安全工程师用来检测安全隐患
- 开发人员用来测试协议执行情况
- 用来学习网络协议
获取Wireshark
Wireshark协助win平台、mac平台和unix平台。这里都以win平台为例
通过访问:https://www.wireshark.org/download.html能够获取win平台安装包。
安装wireshark
win平台:双击“Wireshark-win64-2.6.2.exe”即可。安装过程中需安装WinPcap, WinPcap(windows packet capture)是windows平台下一个免费,公共的网络访问系统。可为win应用程序提供访问网络底层的能力。
Linux平台:sudo apt-get install wireshark wireshark-qt
Wireshark官方教程
http://wiki.wireshark.org/
https://www.wireshark.org/#learnWS
https://www.wireshark.org/docs/wsug_html/ or
https://www.wireshark.org/download/docs/user-guide.pdf
其他资料
http://openmaniak.com/cn/wireshark_filters.php
网路基础
7层OSI参考模型
数据流向:
1.在网络上传输的初始数据首先从传输网络的应用层开始,沿着 OSI 参考模型的七层逐层向下,直到物理层。
2.在这一层传输网络物理
媒介会将数据发送到接收
系统。
3.接收系统从它的物理层
获取到传输数据,继而向
上逐层处理,直到最高的
应用层。
Wireshark基础
主窗口
配置方案
可以快速切换Wireshark工作模式而无需手动设置选项。
通过“编辑——配置文件”可以查看并编辑配置方案。
通过右下角点击Profile可快速选择部署方案。
一个配置方案囊括以下内容:
- Preferences 参数选项。
- Capture filters 捕获过滤器。
- Display filters 表明过滤器。
- Coloring rules 着色规则。
- Disabled protocols 已禁用的协议。
- Forced decodes 强制解码。
- Recent settings 最近设置,比如窗格大小、菜单设置和列宽。
- Protocol-specific tables 针对特定协议的表格,例如SNMP 用户和自定义HTTP 头。
捕获数据
打开软件时捕获:
通过点击网卡名称即可开始捕获
打开软件后捕获:
点击“蓝色鲨鱼旗”或者点击“捕获——开始”开始捕获资料。
停止捕获数据:
点击“红色方框”或者点击“捕获——停止”停止捕获信息。
分析数据1
搜索数据:
直接Ctrl+F许可打开搜索条。
以搜索“字符串”为例,
左边需要选择分组详情或分组字节流。
对应的英文为packet details或packet
Bytes。
输入字符串,点击查找即可查找数据。
标记数据:
在packet list窗口,选中内容,右击后
点击标记或者Ctrl+M。
标记数据的意义:
可快速切换:Shift-Ctrl-N和Shift-Ctrl-B
导出时只导出标记数据,减少素材体积
分析数据2
设置时间表现格式:
点击“视图——时间展示格式”,选择
你喜欢的时间格式。
捕获过滤器和显示过滤器
捕获过滤器
当进行数据包捕获时,只有那些满足给定的包含/排除表达式
的数据包会被捕获。用来节省不需要的数据包占用的处理器和
存储资源。
打开捕获过滤器窗口
借助点击“捕获——捕获过滤器”打开捕获过滤器窗口,这里
展示了一些常见的捕获过滤器规则。
使用捕获过滤器
点击“捕获——选项”在捕获过滤器输入规则。如右图,点
击开始即可仅捕获port为22的包。
