Wireshark基本使用

本文会对Wireshark做简单介绍，带大家熟悉一下Wireshark的界面，以及如何使用过滤器。

接着会带大家查看TCP五层模型下，带大家回顾各层首部的格式。

最后会演示 Wireshark 如何抓取三次握手和四次挥手包的过程。

目录

一.Wireshark简介

二. 界面介绍

三. 过滤器

1. 捕获过滤器

2. 显示过滤器

四. 保存流量包

五. 协议数据包详解

1. 物理层

2. 数据链路层

3. 网络层

 4. 传输层

三次握手

四次挥手

一.Wireshark简介

大家可能之前用过 BurpSuite，Wireshark和它相比有哪些区别呢？

Burpsuite 只是抓的应用层数据包，而 Wireshark 七层网络模型都能抓。

不过Wireshark不是入侵检测系统，对于网络上的异常流量，Wireshark不会警示或提示。

且无法对流量包进行更改，只能查看流量包。

下载地址：Wireshark · Download

二. 界面介绍

共分为五大块：菜单栏，工具栏，显示过滤器，捕获过滤器和网卡模块。

显示过滤器是对抓到的包进行过滤；

捕获过滤器是提前设置好想抓的对象。

抓包界面也分三大块：

从上到下分别是数据包列表，数据包的详细信息和详细信息十六进制表示。

在编辑-首选项-外观，也可以按自己习惯修改布局。

三. 过滤器

功能列表不可能一一介绍完，这里介绍最重要的过滤器。

1. 捕获过滤器

前面说过，捕获过滤器是提前设置好捕获的对象

点击捕获-选项：

这里的混杂模式 是指不仅抓本机MAC地址的包，所有经过网卡的包都会捕获。

捕获过滤器就在下方的框内输入即可

比如想捕获端口为443的包：输入 port 443

还有很多选项，比如

地址：host、src、dst      协议：ip、tcp、http、ftp 等

如查找目的地址为本机且协议是tcp的包：dst 127.0.0.1 && tcp

这里再举些例子： 

src host 192.168.2.11 && dst port 80 #抓取源地址为192.168.2.11，并且目的端口为80
的流量
host 192.168.2.11 || host 192.168.2.22 #抓取192.168.2.11或者192.168.2.22的流量
数据
!broadcast #不抓取广播包
src ether host 98:1a:35:98:09:6f #抓取源mac地址为98:1a:35:98:09:6f的数据包

2. 显示过滤器

显示过滤器是对抓完的包再进行过滤

这里也列出一些例子：

http、tcp #按照协议搜索
ip.src_host=192.168.2.16 #src_host按照源ip地址进行搜索
ip.src_host=192.168.2.16 or ip.dst_host=192.168.2.1 # dst_host是目标主机ip地址
tcp.flags.ack == 0 and tcp.flags.syn == 1 # 这是过滤出，tcp请求中ack标记为0，syn标记为1的包
ip.addr=192.168.2.33 # 是要ip地址为192.168.2.33的全部展示出来，不管是目标地址还是源地址。
tcp.srcport == 443 # 源端口为443的数据包
not arp # 不获取arp数据
tcp.port == 443 # 过滤端口443的数据包

这里还有一种过滤器选择方法：

我们选择一项右击，选择作为过滤器应用，也可以进行显示过滤。

四. 保存流量包

比如我们想导出特定几个流量包，怎么导出呢？

选中我们要标记的包右键标记或者 Ctrl + M

再点击 文件 - 导出特定分组，选择最下面的 Marked packets only

五. 协议数据包详解

OSI 七层模型和 TCP/IP 五层模型相信大家并不陌生：

Wireshark 呈现出的方式是五层模型方式：

我们依次来看一下：

1. 物理层

2. 数据链路层

数据链路层抓的是以太网MAC帧，格式如下：

细心的同学会发现，为什么Wireshark这个没有FCS字段

因为 Wireshark 抓取的MAC帧直接丢掉了帧尾，默认丢弃了这个校验字段。

3. 网络层

IP层咱先回顾一下IP首部字段：

再来对比看一下：

 4. 传输层

传输层协议主要是TCP和UDP，我们这里先看TCP：

对应看下包：这里的1000就是数据偏移，保留位是 ....

数据偏移其实就是表示这个TCP的首部长度，以4B为单位，所以为32B

标志位字段展开就是六个标志

各个标志位的含义如下：

--------------------------------------------------------------------------------------------------------------------------------

下面演示三次握手和四次挥手的抓包过程：

三次握手

首先看下三次握手的过程图：

具体的三次握手细节可以看 湖科大计网

实验过程如下：

我们随便访问一个网站，通过 源地址、目标地址和info 能找到三次握手的包

也可以设置显示过滤器为 tcp.flags.syn == 1 进行查找

然后存储下来，我们来进行分析：

第一个包，开始时服务器端处于监听状态，客户端发送TCP连接请求报文段

并设置 seq=x，SYN=1，进入 SYN-SENT 状态

---------------------------------------------------------------------------------------------------------------------------------

第二个包，服务器端接收到后，向客户端发送确认消息

设置 SYN=1，ACK=1，seq=y，ack=x+1，并进入 SYN-RCVD 状态

---------------------------------------------------------------------------------------------------------------------------------

第三个包，客户端收到后，向服务器端发送TCP确认报文段表示收到

设置 ACK=1，seq=x+1，ack=y+1，进入 ESTABLISHED 状态

最后，服务器收到确认请求，就知道可以进行通信了，也进入 ESTABLISHED 状态。

四次挥手

四次挥手的过程图：

实验过程如下：

我们搜索 tcp.flags.fin == 1

搜到两条先标记，然后搜 tcp.flags，就能找到四次挥手的四个包了，标记保存。

第一个包，客户端向服务器发送FIN请求，并确认收到之前的数据

设置 FIN=1，ACK=1，seq=u，ack=v，并进入终止等待1状态

---------------------------------------------------------------------------------------------------------------------------------

第二个包， 服务器收到客户端的包，返回确认包

设置 ACK=1，seq=v，ack=u+1，服务器端进入关闭等待状态，客户端进入终止等待2状态

---------------------------------------------------------------------------------------------------------------------------------

第三个包，主要是为了防止第二包发完后，服务器端还有数据要发送给客户端

发送完后，服务器端也告知客户端自己要请求断开连接，并确认收到了之前的数据包

设置 FIN=1，ACK=1，seq=w，ack=u+1，服务器端进入最后确认状态

---------------------------------------------------------------------------------------------------------------------------------

第四个包，客户端确认收到服务器端的释放请求

设置 ACK=1，seq=u+1，ack=w+1，客户端进入时间等待状态，因为怕服务器端没收到这个确认包。客户端等待2MSL看服务器端是否会超时重传，没反应就进入关闭状态。

感谢你能看到这 o(*￣▽￣*)ブ