Wireshark是一款功能强大、易于使用且免费的网络流量分析工具。它可以帮助用户深入了解网络通信细节,解决网络问题,提高网络安全性和性能。在红蓝对抗中,作为防守一方需要对流量进行分析,熟练使用Wireshark可以帮助我们快速发现恶意攻击流量,理解攻击的手法,并且及时处理。
本文主要将主要介绍Wireshark在流量分析的应用,一些wireshark的基本使用,本文不会涉及。
基本介绍
过滤器:可以根据特定的IP,端口,协议等搜索特定的数据包
摁下Ctrl+F会弹出筛选选项,可以指定内容筛选数据包。
将主要叙述一些过滤器的用法
比较操作符
比较操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。
逻辑操作符
and or not
协议过滤
使用对应协议名即可,如:http,tcp,udp
IP过滤
ip.src ==192.168.10.104 显示源地址为192.168.10.104的数据包列表
ip.dst==192.168.10.104, 显示目标地址为192.168.10.104的数据包列表
ip.addr == 192.168.10.104 显示源IP地址或目标IP地址为192.168.10.104的数据包列表
端口过滤
tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。
tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。
tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表。
HTTP模式过滤
http.request.method==”GET”, 只显示HTTP GET方法的。
数据包内容过滤
按照数据包内容过滤。右击你想要过滤的内容,选择作为过滤器,选中即可:
就会自动生成筛选的语句进行筛选
看到这, 基本上对wireshak过滤器使用有了初步了解,这就可以了,重点还是结合恶意攻击流量特征进行筛选。