Wireshark基础操作

目录

1、基础操作

1.1、数据统计

IP统计：在菜单中选择Statistics，然后选择Conversation，就可以统计出所在数据包中所有通信IP地址，包括IPV4和IPV6。

端口统计：同IP统计，点击TCP可以看到所有TCP会话的IP、端口包括数据包数等信息，且可以根据需求排序、过滤数据。UDP同理。

1.2、搜索功能

WireShark具备强大的搜索功能，在分析中可快速识别出攻击指纹。Ctrl+F弹出搜索对话框。

Display Filter：显示过滤器，用于查找指定协议所对应的帧。

Hex Value：搜索数据中十六进制字符位置。

String：字符串搜索。Packet list：搜索关键字匹配的Info所在帧的位置。Packet details：搜索关键字匹配的Info所包括数据的位置。Packet bytes：搜索关键字匹配的内容位置。

1.3、Follow TCP Stream

对于TCP协议，可提取一次会话的TCP流进行分析。点击某帧TCP数据，右键选择Follow TCP Stream，就可以看到本次会话的文本信息，还具备搜索、另存等功能。

1.4、HTTP头部分析

对于HTTP协议，WireShark可以提取其URL地址信息。

在菜单中选择Statistics，选择HTTP，然后选择Packet Counter（可以过滤IP）,就可以统计出HTTP会话中请求、应答包数量。

在菜单中选择Statistics，选择HTTP，然后选择Requests（可以过滤IP）,就可以统计出HTTP会话中Request的域名，包括子域名。

1.5、数据包分析

长度：8 位/字节，MAC 地址 48 位，即 6 字节，IP 地址 32 位，即 4 字节。

1.6、IP协议

为了不受很多协议的影响，这里通过执行 ping 命令仅捕获 ICMP 协议的数据包。此时 在主机 PC1上执行 ping 命令。执行命令如下所示：

捕获 IP 分片数据包

如果一个数据包超过 1500 个字节时，就需要将该包进行分片发送。通 常情况下，是不会出现这种情况的。但是为了帮助用户更清晰的理解 IP 协议，下面通过使 用 ICMP 包，来产生 IP 分片数据包。

使用 ICMP 包进行测试时，如果不指定包的大小可能无法查看到被分片的数据包。由于 IP 首部占用 20 个字节，ICMP 首部占 8 个字节，所以捕获到 ICMP 包大小最大为 1472 字节。但是一般情况下，ping 命令默认的大小都不会超过 1472 个字节。这样，发送的 ICMP 报文 就可以顺利通过，不需要经过分片后再传输。如果想要捕获到 IP 分片包，需要指定发送的 ICMP 包必须大于 1472 字节。

数据包格式可以结合Omnipeek工具来分析学习。

捕获 IP 分片的数据包。具体操作步骤如下所示：

（1）启动 Wireshark 捕获工具。

（2）在 Wireshark 主界面的菜单栏中依次选择 Capture|Options，或者单击工具栏中的 （显示捕获选项）图标打开 Wireshark 捕获选项窗口，如图所示。

此时在主机 PC1 上执行 ping 命令，以产生 ICMP 数据包。执行命令如下所示：

C:\test>ping 192.168.5.4 -l 3600

从该界面可以很清楚的看到，和前面捕获到的数据包不同。在该界面 Protocol 列，显示 了 IPv4 协议的包。这是因为发送的数据包过大，所以经过了分片后发送的。

1.7、传输控制协议 TCP

三次握手

左手称为设备A，右手称为设备B

默认是勾选上。

TCP 的四次挥手

左手称为设备A，右手称为设备B