[工具使用]Wireshark

原创

拈花倾城 2022-04-09 14:59:05 博主文章分类：工具使用 ©著作权

文章标签 wireshark tcp/ip 信息安全网络安全数据帧 文章分类 代码人生

©著作权归作者所有：来自51CTO博客作者拈花倾城的原创作品，请联系作者获取转载授权，否则将追究法律责任

WireShark

简单使用
数据包的过滤

抓取时过滤
抓取后过滤

数据流跟踪
专业信息说明
数据包的统计分析

已解析的地址
协议分级
统计摘要说明(文件属性)

导出对象——>HTTP

数据包分析的小技巧

Veni, vidi, vici! 我来，我见，我征服！
                                      ——Julius Caesar恺撒一世

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

官网下载链接

简单使用

[工具使用]Wireshark_tcp/ip [工具使用]Wireshark_数据帧_02 http:

[工具使用]Wireshark_wireshark_03 tcp:

[工具使用]Wireshark_信息安全_04

停止抓包后，我们可以选择抓取到的数据包。

文件—>另存为,然后就会保存为一个pcap格式的文件。

pcap文件格式

[工具使用]Wireshark_数据帧_05

1.Pcap Header

文件头，每一个pcap文件只有一个文件头，总共占24（B）字节，以下是总共7个字段的含义。

Magic(4B)：标记文件开始，并用来识别文件和字节顺序。值可以为0xa1b2c3d4或者0xd4c3b2a1，如果是0xa1b2c3d4表示是大端模式，按照原来的顺序一个字节一个字节的读，如果是0xd4c3b2a1表示小端模式，下面的字节都要交换顺序。现在的电脑大部分是小端模式。

Major(2B)：当前文件的主要版本号，一般为0x0200

Minor(2B)：当前文件的次要版本号，一般为0x0400

ThisZone(4B)：当地的标准事件，如果用的是GMT则全零，一般全零

SigFigs(4B)：时间戳的精度，一般为全零

SnapLen(4B)：最大的存储长度，设置所抓获的数据包的最大长度，如果所有数据包都要抓获，将值设置为65535

LinkType(4B)：链路类型。解析数据包首先要判断它的LinkType，所以这个值很重要。一般的值为1，即以太网

2.Packet Header

数据包头可以有多个，每个数据包头后面都跟着真正的数据包。以下是Packet Header的4个字段含义

Timestamp(4B)：时间戳高位，精确到seconds，这是Unix时间戳。捕获数据包的时间一般是根据这个值

Timestamp(4B)：时间戳低位，能够精确到microseconds

Caplen(4B)：当前数据区的长度，即抓取到的数据帧长度，由此可以得到下一个数据帧的位置。

Len(4B)：离线数据长度，网路中实际数据帧的长度，一般不大于Caplen，多数情况下和Caplen值一样

3.Packet Data

Packet是链路层的数据帧，长度就是Packet Header中定义的Caplen值，所以每个Packet Header后面都跟着Caplen长度的Packet Data。也就是说pcap文件并没有规定捕获的数据帧之间有什么间隔字符串。Packet数据帧部分的格式就是标准的网络协议格式了。

保存的pcap文件用010Editor打开如下图：

[工具使用]Wireshark_网络安全_06