使用Wireshark的网络的分析简介

DebugUsery
401 阅读6分钟

使用Wireshark进行网络分析的介绍

作为一个IT专业人士,你会发现自己使用的最强大的网络工具之一是 语音提示,这个工具主要用于分析网络数据包。本教程将概述 术语,我们将了解它是如何工作的,并介绍它的几种用途。

要求

  • 网络基础知识
  • TCP/IP协议栈
  • 读取和解释数据包头
  • 路由和端口转发
  • DHCP

什么是Wireshark?

Wireshark是一个开源项目,其主要目的是为网络协议开发一个标准的分析工具。它是一个网络数据包分析器,可以捕获网络上的数据,然后以人类可理解的形式呈现。

这个工具可以执行各种操作,例如。

  • 排除网络故障。
  • 执行用于检测安全威胁的安全操作,如网络上的端口扫描。
  • 在微观层面上学习更多关于网络协议的知识。
  • 对互联网上的语音(VoIP)进行分析。

Wireshark是如何工作的?

Wireshark就像我们说的,是一个包分析器或包嗅探器。 Wireshark捕获网络流量(目前在你的网络上移动的数据)并记录数据的离线移动。为了分析网络活动,你就可以使用这些数据。

安装Wireshark

在本教程中,我们正在安装 Wireshark在Ubuntu 20.04中。

第1步:更新系统的apt


sudo apt update

这时输出以下内容,记住你的输出可能与下面显示的不同。


jumamiller@OpijaKaeli:~$ sudo apt update
[sudo] password for jumamiller: 
Hit:1 http://ke.archive.ubuntu.com/ubuntu focal InRelease                      
Hit:2 http://dl.google.com/linux/chrome/deb stable InRelease                                                
Reading package lists... Done
Building dependency tree       
Reading state information... Done
243 packages can be upgraded. Run 'apt list --upgradable' to see them.
jumamiller@OpijaKaeli:~$

第2步:安装Wireshark

由于我们已经更新了我们的系统,我们将安装 Wireshark的最新版本,运行以下命令。

jumamiller@OpijaKaeli:~$ sudo apt install Wireshark
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following additional packages will be installed:
  libc-ares2 libqt5multimedia5-plugins libqt5multimediagsttools5
  libqt5multimediawidgets5 libqt5opengl5 libsmi2ldbl libspandsp2
  libwireshark-data libwireshark13 libwiretap10 libwsutil11 wireshark-common
  wireshark-qt
Suggested packages:
  snmp-mibs-downloader geoipupdate geoip-database geoip-database-extra
  libjs-leaflet libjs-leaflet.markercluster wireshark-doc
The following NEW packages will be installed:
  libc-ares2 libqt5multimedia5-plugins libqt5multimediagsttools5
  libqt5multimediawidgets5 libqt5opengl5 libsmi2ldbl libspandsp2
  libwireshark-data libwireshark13 libwiretap10 libwsutil11 wireshark
  wireshark-common wireshark-qt
0 upgraded, 14 newly installed, 0 to remove and 243 not upgraded.
Need to get 22.0 MB of archives.
After this operation, 116 MB of additional disk space will be used.
Do you want to continue? [Y/n]

要继续下载 Wireshark,输入y 。根据你的网络水平,这可能需要几分钟时间。完成后,它提示你使用一个窗口来配置Wireshark的root权限。

Configure-wireshark

使用方向键,选择 取决于你的需要,然后按回车键。

第3步:验证Wireshark的安装

运行下面的命令来获取你所安装的 Wireshark你所安装的版本。


jumamiller@OpijaKaeli:~$ wireshark --version
Wireshark 3.2.3 (Git v3.2.3 packaged as 3.2.3-1)

Copyright 1998-2020 Gerald Combs <gerald@wireshark.org> and contributors.
License GPLv2+: GNU GPL version 2 or later <https://www.gnu.org/licenses/gpl-2.0.html>
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

Compiled (64-bit) with Qt 5.12.8, with libpcap, with POSIX capabilities (Linux),
with libnl 3, with GLib 2.64.2, with zlib 1.2.11, with SMI 0.4.8, with c-ares
1.15.0, with Lua 5.2.4, with GnuTLS 3.6.13 and PKCS #11 support, with Gcrypt
1.8.5, with MIT Kerberos, with MaxMind DB resolver, with nghttp2 1.40.0, with
brotli, with LZ4, with Zstandard, with Snappy, with libxml2 2.9.10, with
QtMultimedia, without automatic updates, with SpeexDSP (using system library),
with SBC, with SpanDSP, without bcg729.

Running on Linux 5.4.0-58-generic, with          Intel(R) Celeron(R) CPU B830 @
1.80GHz (with SSE4.2), with 3824 MB of physical memory, with locale en_US.UTF-8,
with libpcap version 1.9.1 (with TPACKET_V3), with GnuTLS 3.6.13, with Gcrypt
1.8.5, with brotli 1.0.7, with zlib 1.2.11, binary plugins supported (0 loaded).

Built using gcc 9.3.0.
jumamiller@OpijaKaeli:~$

第4步:启动Wireshark

要启动 启用Wireshark,在终端运行以下命令。


jumamiller@OpijaKaeli:~$ wireshark
|

运行这个命令将使你重定向到 Wireshark软件窗口。

恭喜你,你现在已经 Wireshark安装在你的系统中并运行。

你的第一个数据包捕获

我们已经 Wireshark在我们的系统中安装了。让我们深入进去,开始实验它的功能。

1.Wireshark的图形用户界面

图1.2以上。 Wireshark包含一些常用的菜单。 文件、编辑、查看、前往、捕获、分析、统计、电话、无线、工具和帮助.

我们会看到下面的菜单菜单。

  • 开始捕获数据包图标
  • 停止捕获数据包图标
  • 重新启动当前捕获图标

和其他几个图标,你可以悬停在上面,了解它们的作用。

2.Wireshark网络接口选择

通常情况下,当你启动一个 Wireshark而不打开一个捕获文件或启动一个捕获过程时,会显示一个欢迎屏幕。
这个窗口将始终显示当前打开的捕获文件和捕获的可用界面。

第一步是选择网络接口来捕获其数据。记住,不同的操作系统的接口是不同的。

图1.3 网络接口

Network-Interfaces

从上面的截图中,我们有6个接口,然后我们可以从中选择。

请点击 捕获按钮,就在 欢迎来到Wireshark.

这时会提示你进入另一个窗口,如下图所示。

图 1.4 网络接口 2

Network-Interfaces

现在选择你所看到的任何一个接口。在这个例子中,我们将探索UDP监听器选项。

然后,在最左边的角落,点击开始按钮。

在这个阶段,你应该能够得到像下面这样的输出。

图1.5 网络流量

Network-Traffics

在上面的捕获面板中,你应该注意到,网络数据包的捕获是按顺序进行的,每一行代表捕获的每个数据包。

细节方面,有行有列,以表格的形式显示。每一行代表收集的数据包,而其他信息,如时间、协议、持续时间等,则以列的形式给出。如果你参考上面的截图,这将是最好的。

让我们来看看这些列以及它们为我们提供了什么类型的信息。

  • 没有- 代表网络数据包的特定序列号。要对一个特定的数据包进行分类,可以使用这个。
  • 时间- 这是一个特定数据包被记录的时间。
  • 来源- 这代表我们从哪里获得数据包。这表示的是互联网协议(IP地址)。
  • 目的地- 这是用来表示数据包要去的互联网协议(IP地址)。
  • 协议- 这指的是你所捕获的数据的协议。这可能是 TCP、ARP等
  • 长度- 这是用来表示捕获的数据包的大小。
  • 信息- 这给你提供了关于你所捕获的数据包的额外信息。

注意:每个协议都用其颜色方案表示。例如,在我们的例子中,该 TCP协议有一个 #cccccc背景。这有助于用户轻松区分这些协议。

恭喜你,你刚刚成功地捕获了网络数据包,这就是用户友好性。 线鲨是如此的友好。

数据包细节面板

现在我们可以捕捉到一些数据了,试着点击一个单行,你会发现一些数据被显示在即时窗口上。

图1.5 数据包细节

Single-Packet-Details

在突出显示的协议上,点击它以获得更多关于这个SSDP协议的细节,如下所示。

图 1.6 更多关于数据包的细节

Protocol-details

上面的信息告诉我们更多关于捕获的数据包,包括使用的设备。这些数据很关键,特别是在系统黑客攻击中,它们可以被收集用于取证。

数据包字节面板

记得当你点击上面的数据包细节中的某一行时,你可以在上面的窗口中得到细节。 图1.6上。

因此,这导致下面的窗口 图1.6也会被更新。

让我们看一看。

图 1.7 字节详情

bytes-panel

仔细看这个截图,数字是以字节为单位的。这是捕获数据包时数据转储的确切格式。

总结

在本教程中,我们研究了 观察Wireshark的工作,快速浏览了如何开始使用这个神奇的工具。

我们还看到,我们如何在一个基于Linux的系统中安装 Wireshark在一个基于Linux的系统中,执行各种任务,如转储数据包流。

avatar
文章
阅读
粉丝