Wireshark用于抓包嗅探协议分析,通过抓包的引擎获得的协议数据进行分析,其性能优势主要体现在解码能力。
抓包引擎:
Linux平台:Libpcap
Windows平台:winpcap10
- 1、基础操作
启动、选择抓包网卡、混杂模式、实时抓包、保存和分析捕获文件、首选项 - 2、筛选器
作用:过滤掉干扰的数据包
分类:
(1)抓包筛选器
(2)显示筛选器
在wireshark上,看TCP的包的三次握手,首先是[SYN],然后是[SYN,ACK],然后是[ACK]
如果http是81或8080端口,wireshark默认是不识别的,可以通过右键Decode as指定为http协议进行分析。
查看数据流:在数据包上右键选择Follow Tcp Stream - 3、信息统计
节点数
协议分布
包大小分布
会话连接
解码方式
专家系统 - 4、Wireshark实践
抓包对比nc、nact加密与不加密的流量
(1)不加密(nc):
Server:192.168.50.115(开启wireshark)
不加密
Client:192.168.50.116
不加密
此时在192.168.50.115上查看抓包情况:在116上对115的运程操作能看到是明文传输。
明文
(2)加密(ncat):
Server:192.168.50.115(开启wireshark)
加密
Client:192.168.50.116
加密
此时在192.168.50.115上查看抓包情况:在116上对115的运程操作能看到是密文。
密文
- 5、企业抓包部署方案
Wireshark基于大文件的包文件打开比较慢,主动扫描(主动去发送测试的数据进行分析)、被动扫描(类似于抓包,接收后分析)
常用软件:
Sniffer
Cace/riverbed
Cascad/pilot
