[网络相关]网络抓包利器:wireshark
[网络相关] [转]网络抓包利器:wireshark原文链接:http://www.asmylife.com/?p=692
摆弄软件,难免需要一些基础技能,对网络数据包及软件行为监控都需要一定的了解.对软件行为监控首选SYSINTERNALS SOFTWARE出品的系列工具:regmon---可以监控系统注册表读写filemon---用于监控文件读写procexp---用于监控进程以及进程关系tcpview---监控进程监听端口,网络连接行为鉴于以上软件功能上互有交集,SYSINTERNALS SOFTWARE收归微软后,以上工具除了procexp和tcpview,文件和注册表监控工具都已不支持vista以上版本,系统取而代之的是集以上软件功能为一体的procmon,具体可以到微软网站下载,或者搜索引擎搜索即可下载到,具体用法自己打开软件看了就会了. 本次介绍搞网络或者网络相关软件人士必备基本技能:网络抓包.http://www.asmylife.com/wp-includes/js/tinymce/plugins/wordpress/img/trans.gif网络抓包可以在路由上进行,这个需要特殊硬件支持,一般路由或者交换机能看到的也只是个概况,基本上还是将所有数据流过滤,然后提取感兴趣的部分.常见抓包软件有:1.sniffer pro大名鼎鼎的老牌抓包工具,国内有不少破解版,可用的也就4.75版本吧,我这提供一个本人收藏版,可以点击超链接下载.2.wireshark也是顶尖的工具,不同的是此软件开源,免费,而且有绿色版本.http://www.asmylife.com/wp-includes/js/tinymce/plugins/wordpress/img/trans.gif3.科来网络分析系统国内还算做的比较好的吧,对咱来说主要是都汉化了,看得明白点,具体可以网上搜索,官方有比较多的使用资料.还有一些诸如wirepark,WinAircrackPack,SmartSniff 等都是比较优秀的抓包软件,在此就不一一列举了,今日重点推荐wireshark.此软件基于winpcap协议,安装完成无需重启即可使用.当然,官方也提供绿色版本,但绿色版本无法实现同时多窗口运行,所以推荐安装版.打开wireshark我们可以看到整个软件功能明了的界面,如图1:http://www.asmylife.com/wp-content/uploads/2011/11/wireshark-300x247.png图1.wireshark起始界面图2:选择过滤协议
整个软件界面为标准的windows软件排布,顶部将常用及主要功能按钮摆放一排.wireshark开始使用之前可以将鼠标移至各按钮上看下其基本功能,使用之前也有必要了解下tcp-ip相关基础知识,根据具体用途及使用目的不同,也有必要对相关知识做相应的了解. 如想诊断局域网内arp攻击(随便举个例,诊断arp工具目前市面上有不少傻瓜工具,如WinArpAttacker这种集诊断与防御攻击于一身),那么就需要对arp相关流程有一定的了解,才能在众多的数据包中分析出哪些是正常的arp请求应答,哪些是恶意所为,其他如http等,在此不做讨论.http://www.asmylife.com/wp-includes/js/tinymce/plugins/wordpress/img/trans.gifhttp://www.asmylife.com/wp-content/uploads/2011/11/wireshark1-298x300.png图2:选择过滤协议
http://www.asmylife.com/wp-content/uploads/2011/11/wireshark2-300x116.png图3:网络适配器列表
下面就以抓取网页访问行为为例实际操作示范.开始第一步:选择需要过滤的协议点击工具栏左边第一或者第二个按钮,将打开图2和图3所示设置界面.图3直接将本机所有的网络适配器列出,点击start将直接开始抓取所有能够监听到的数据包,点击option将回到图2所示.一般通过图2进入,选择物理网卡,然后设置过滤规则(capture filter). 本次要抓取的是网页访问行为,那么选择http tcp port(80)就可以了.当然,如果要抓取https协议,那么相应的 添加"and tcp port 443".实际上wireshark会将所有监听到的数据包保留,所以后期开始抓包后还可以再次选择需要过滤的协议.http://www.asmylife.com/wp-includes/js/tinymce/plugins/wordpress/img/trans.gifhttp://www.asmylife.com/wp-content/uploads/2011/11/wireshark3.png图4:抓包过程
设置好协议后就可以开始了,我们可以看到如图4的展示. 其中包含了在过滤规则内的所有的监听到的数据包,在数据量较大时,一个个数据包查看将是个巨大的工程,且对你的眼睛也是巨大的挑战.针对此情况,我们有必要对已经过滤过的协议再次进行信息展示过滤. 我们可以看到界面上有个输入框,我们可以选择左边的filter按钮进入,这就是之前提过的可以再次选择过滤协议的地方.如果对http协议或者行为有了解,那么你可以直接在输入框中输入需要过滤的信息,格式如http.request....,输入的过程中软件会相应的给出引导提示,如图5所示,最终完成自己需要过滤的信息,按右边的apply按钮应用过滤信息.http://www.asmylife.com/wp-content/uploads/2011/11/wireshark5.png图5:过滤引导显示信息
http://www.asmylife.com/wp-content/uploads/2011/11/wireshark4.png图6:选择过滤显示信息
http://www.asmylife.com/wp-content/uploads/2011/11/wireshark6.png图7:过滤GET请求(wireshark区分大小写)
http://www.asmylife.com/wp-content/uploads/2011/11/wireshark7.png图8:再次在输出信息中过滤
另外一种如图6所示,选择自己想要展示的信息,右边可以选择匹配或者包含等关系.通过定制各种过滤规则,可以最大可能地过滤掉一些垃圾信息.当然,很多时候我们不知道自己需要什么信息,这个时候就不得不费神费力费眼睛去找了.http://www.asmylife.com/wp-includes/js/tinymce/plugins/wordpress/img/trans.gifhttp://www.asmylife.com/wp-content/uploads/2011/11/wireshark8.png图9:最终显示特定信息
最终多个过滤条件用"and"连接 ,如图9所示.以上为简单的使用介绍,更多细节还需要亲自使用才能有所发现.总之使用方法不难,难在抓到后的数据整理分析,从监听到的杂乱数据中发掘自己需要的部分.本站空间不在墙内,速度不是很好,可能有同学看不到图片,保存了个pdf文件,点击下载:wireshark使用简介.pdf点此下载wireshark安装版
页:
[1]