一 wireshark 安装
首先我使用的是BT和kali两个系统,这个软体在这两个系统都是自带的,其中kali系统运行的时候会报错,具体的修改是找到其配置文件usr/share/wireshark/init.lua ,把里面的倒数第二行整体替换成
--dofile("console.lua") ,这个方法是网上找的,其实我个人觉得--只是单纯的注释掉了这行,所以后面是什么都无所谓了,当然最后成功运行了,最后说明 我是使用leafpad这个工具进行编辑的,比较放心,BT需要重新指定数据源才能安装,apt-get intall leafpad .kali自带了.感觉使用起来比vim方便,呵呵。最后再说一句,改任何配置前先备份一下文件,我是cp int.lua /root 到桌面了,其实可以建立一个专门的备份文件夹的。
另外wireshark这个软件个人感觉针对明文的协议效果比较好,其实到现在我也不知道支持多少个协议,总之ftp telnet肯定是支持的,看数据包需要通tcp协议,显然我还不太懂,不过我可以肯定,对于协议了解的越多,用这个软件越强大
二 软件的初步使用
这个软件是UI界面的,使用方法比较简单,开启UI界面后,选择captur --interface 在下面选择你的本机网卡,点击start就可以抓包了,当然这是默认设置,后面option可以进行详细的设置,包括过滤垃圾数据等等,个人认为这种工具对于分析网络问题很是有帮助,但是如果你想偷窃,用途就不是很大了,因为长时间的抓包数据包量实在是太大了,找到username和password都不是一件容易的事情,何况加密呢.
三 软件的一些设置
很喜欢这个软件的分析功能,比起当年上学的时候使用的sniffer好用,好吧,其实没有可比性,这个软件可以做一些额外的设置,来方便自己对数据包的分析,比如数据包彩色高亮(设置方法view--color rules),合并捕获文件,因为我们要长时间的监听和多次的监听才有效果,因此我们有的时候为了便于分析需要合并捕获的文件(File--Merge,这个时候会弹出Merge with Capture File 对话框,然后你就看懂了)。查找数据包(ctrl+F,这个是win系统经典热键),这下面有三个选项:Display filter 选项可以让你通过输入表达式进行筛选,并只找出那些满足表达式的数据包,例如:ip.addr==0.0.0.0 hex value 我们可以能用不到,这个是输入十六进制进行搜索;string,这个我们应该会常用,利用各种字符串搜索比如:password。搜索的时候下一个满足条件的热键是ctrl+n(next),上一个满足条件的热键是ctrl+b(back),非常好记,好了,接下来你就可以进行最基本的数据包分析了。原谅我没有带图。
