Wireshark下载-Wireshark抓包工具下载 v3.6.2绿色版
wireshark是一款功能非常强大的抓包工具,软件拥有强大的网络捕获和解码技术,知识兔可以帮助我们一键轻松撷取网络封包。我们可以通过Wireshark来对网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作,方便网络管理人员用来诊断网络问题和检测安全漏洞,有需要的朋友赶紧来知识兔资源站下载体验吧!
Wireshark功能介绍
确定 Wireshark 的位置
如果知识兔没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。
选择捕获接口
一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。
使用捕获过滤器
通过设置捕获过滤器,知识兔可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且知识兔,还可以为用户节约大量的时间。
使用显示过滤器
通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤。
使用着色规则
通常使用显示过滤器过滤后的数据,都是有用的数据包。如果知识兔想更加突出的显示某个会话,知识兔可以使用着色规则高亮显示。
构建图表
如果知识兔用户想要更明显的看出一个网络中数据的变化情况,知识兔使用图表的形式可以很方便的展现数据分布情况。
重组数据
Wireshark的重组功能,知识兔可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件。由于传输的文件往往较大,所以信息分布在多个数据包中。为了能够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现。
Wireshark软件特色
1、支持的操作系统
软件对主流的操作系统都分享了支持,其中包括windows、MacOSX以及基于Linux的系统。
2、使用捕获过滤器
通过设置捕获过滤器,知识兔可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且知识兔,还可以为用户节约大量的时间。
3、知识兔选择捕获接口
一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。
4、重组数据
Wireshark的重组功能,知识兔可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件。由于传输的文件往往较大,所以信息分布在多个数据包中。为了能够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现。
5、免费
由于软件是开源的,它在价格上面是无以匹敌的,软件是遵循GPL协议发布的自由软件,任何人无论出于私人还是商业目的,都可以下载并且知识兔使用。
6、用户友好度
软件的界面是数据包嗅探工具中最容易理解的工具之一。基于GUI,并分享了清晰的菜单栏和简明的布局
Wireshark使用说明
1、功能
wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果知识兔是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark.
2、知识兔选择网卡
wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。
3、窗口介绍:
WireShark 主要分为这几个界面
3.1 Display Filter(显示过滤器), 用于过滤
3.2 Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。颜色不同,代表不同的类型
3.3 Packet Details Pane(封包详细信息), 显示封包中的字段
3.4 Dissector Pane(16进制数据)
3.5 Miscellanous(地址栏,杂项)
如何捕获数据包
4、过滤器
使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,知识兔以至于很难找到自己需要的部分。搞得晕头转向。过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
4.1 过滤器有两种,一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录,一种是捕获过滤器,用来过滤捕获的封包,知识兔以免捕获太多的记录。在Capture -> Capture Filters 中设置,保存过滤。
4.2 新建过滤器,在Filter栏上,填好Filter的表达式后,知识兔点击Save按钮, 取个名字。比如”Filter 10″,
4.3 过滤表达式的规则
4.3.1 协议过滤
比如TCP,只显示TCP协议。
4.3.2 IP 过滤
比如 ip.src =192.168.1.102 显示源地址为192.168.1.102,
ip.dst=192.168.1.102, 目标地址为192.168.1.102
4.3.3 端口过滤
tcp.port =80, 端口为80的
tcp.srcport = 80, 只显示TCP协议的愿端口为80的。
4.3.4 Http模式过滤
http.request.method==“GET”, 只显示HTTP GET方法的。
4.3.5 逻辑运算符为 AND/ OR
5、捕获结果分析
5.1 着色规则
在菜单“视图-着色规则”下查看
5.2 数据包结构
第一行:数据包整体概述,
第二行:链路层详细信息,主要的是双方的mac地址。
第三行:网络层详细信息,主要的是双方的IP地址。
第四行:传输层的详细信息,主要的是双方的端口号。
5.3 tcp数据包
标志位对应的功能:
URG:紧急指针( urgent pointer)有效。
ACK:确认序号有效。
PSH:接收方应该尽快将这个报文段交给应用层。
RST:重建连接。
SYN:同步序号用来发起一个连接。
FIN:发端完成发送任务。
窗口大小:用于流量控制。
检验和:检验和覆盖了整个的 TCP报文段: TCP首部和TCP数据,与udp相似需要计算伪首部。
tcp数据包结构及在wireshark中的位置
6、Tcp三次握手分析
客户端->服务器:发送标识为SYN=1、随机产生的客户端序号seq(发送序号)
服务器->客户端:发送标识为SYN=1、ACK=1、第一步产生的客户端序号seq+1(确认序号)、随机产生的服务端序号seq
客户端->服务器:第一步产生的客户端序号seq+1(发送序号)、第二步产生的服务端序号seq+1(确认序号)、ACK=1
三次数据包
其中[SYN]意为SYN位为1(如果知识兔没有,则表示为0)。同理如果知识兔[]中有ACK,表示ACK位为1
6.1 第一次握手数据包
客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。如下图
6.2 第二次握手的数据包
服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图
6.3 第三次握手的数据包
客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且知识兔把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且知识兔在数据段放写ISN的+1, 如下图:
就这样通过了TCP三次握手,建立了连接
过滤命令
1、过滤源ip、目的ip
在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1
2、端口过滤
如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包
3、协议过滤
直接在Filter框中直接输入协议名即可,如过滤HTTP的协议
4、http模式过滤
如过滤get包,http.request.method==”GET”,过滤post包,http.request.method==”POST”
5、连接符and的使用
过滤两种条件时,知识兔使用and连接,如过滤ip为192.168.101.8并且知识兔为http协议的,ip.src==192.168.101.8 and http
网盘下载:
下载仅供下载体验和测试学习,不得商用和正当使用。
