了解wireshark和使用wireshark
今天,我们学的一个网络安全有关的软件——wireshark.
对于小白们来说,他们可能不知道 wireshark是什么?但是对于从事信息安全相关的人员来说,就是他们的老朋友一样。
简单介绍一下,wireshark是免费、开源、流行的网络抓包以及协议分析的工具。(适合人群:运维,学计算机,做安全和开发等人群)。wireshark的使用主要是抓网络数据包和分析协议。之前对于从TCP/IP模型学习中,你就能够知道wireshark能够分析计算机网络模型的各个层。使用之前我们要的电脑(客户端)和服务器之间是否建立了联系,我们就通过(ping 域名),tcp协议通过"三次牵手,四次挥手",进行建立联系和断开。在网络建立联系的过程中“三次握手,四次挥手”的数据包就能够被wireshark抓包。
wireshark的使用
(一).wireshark的使用步骤
1. 打开 Wireshark
2. 选你正在用的网卡(Wi‑Fi/以太网)
说明:wireskark的抓包两种模式:普通模式,混杂模式;普通模式的网卡仅接受发往本机的数据包(含广播),会根据MAC地址过滤,丢弃其他的通信包,仅能抓住本机相关的流量;混杂模式网卡会关闭MAC地址校验,接受所有经过网卡的数据包,可以全面抓取网段内流量。混杂模式在交换机需要配合端口镜像,才能真正捕获其他设备流量,在这个过程中交换机仅仅转发目标包到对应的端口。
3. 点 鲨鱼鳍图标 开始抓包
4. 操作网络(打开网页、ping、登录等)
5. 点 红色方块 停止
使用wireshark软件抓包工具大致就是五个步骤。
(二) wireshark过滤规则
wireshark分捕获过滤器(抓包前筛,减少数据包,语法BPF)和显示过滤抓包(先抓后筛,精准分析,专属语法),显示过滤更为常用,要按照【语法规则+常用示例】整理,直接复制就行。
核心语法规则:
1.字段格式:协议.字段 == 数值(支持 **==**/ **!=** /** >** / **< >=** / **<=** /
,模糊匹配用 contains);
2.逻辑运算符:与(&&)、或(||)、非(!);
3. 协议简写:直接输入协议名即可过滤(如,https \ tcp \ dns);
4.特殊匹配:contains 匹配字段包含某字符(如,http.request.contains"GET")
(高频使用过滤规则(直接复制粘贴))
如图,
###(三)学习计算机网络协议(实践)
wireshark的使用,适用于学习网络安全的人员以及学习计算机的同学,进一步将理论转化成实践。像TCP/IP协议中的tcp协议,“三次握手,四次挥手”,SYN、ACK、FIN等可以通过图示将客户端与服务器建立连接具体的表现出来。
##《中华人民共和国网络安全法》:
任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具:明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
(本人为网络安全初学者,此片内容如有不对的地方希望大家能够谅解,多提提意见!!!)
