Wireshark是網(wǎng)絡(luò)工程師和滲透測試人員使用最廣泛的一款開源抓包工具。常用來檢測網(wǎng)絡(luò)問題、攻擊溯源、或者分析底層通信機制。通過本文，讓你學(xué)會如何使用它！

安裝與啟動

Wireshark的安裝很簡單，支持款平臺。在windows中，我們只需雙擊安裝包進行安裝。在Linux中，我們可以通過apt命令進行安裝。（認(rèn)準(zhǔn)官網(wǎng)地址：https://www.wireshark.org/）

界面介紹

wireshark大體可分為五個區(qū)域，分別如下所示。

快捷功能欄分別對應(yīng)

最常用操作

抓包與停止

選擇網(wǎng)卡后，默認(rèn)自動抓包。

我們可以選擇紅色的小按鈕停止抓包。

保存包

點擊右上角的文件，選擇保存，可以保存抓包的數(shù)據(jù)。包的數(shù)據(jù)格式常見格式是pcap

調(diào)整界面大小

工具欄中的三個放大鏡圖標(biāo)，可以調(diào)整主界面數(shù)據(jù)的大小。從左到右依次是：放大、縮小、還原默認(rèn)大小。

過濾器操作

過濾器是Wireshark的核心功能，也是我們平時使用最多的一個功能。 Wireshark提供了兩個過濾器：抓包過濾器 和 顯示過濾器。兩個過濾器的過濾思路不同。

• 抓包過濾器：重點在動作，需要的包我才抓，不需要的我就不抓。

• 顯示過濾器：重點在數(shù)據(jù)的展示，包已經(jīng)抓了，只是不顯示出來。

抓包過濾器

使用抓包過濾器時，需要先停止抓包，設(shè)置完過濾規(guī)則后，再開始抓包。停止抓包的前提下，點擊工具欄的捕獲按鈕，點擊選項。

在彈出的捕獲選項界面，最下方的輸入框中輸入過濾語句，點擊開始即可抓包。如，我們只想要tcp數(shù)據(jù)包。

顯示過濾器

顯示過濾器在抓包后或者抓包的過程中使用。在過濾欄輸入過濾語句，修改后立即生效。

對于過濾規(guī)則，我在前面的文章中曾寫過，請移步文章《》

大黑闊必學(xué)技

獲取提交的密碼

過濾HTTP

只顯示GET請求的數(shù)據(jù)的數(shù)據(jù)包

http.request.method?==?"GET"


只顯示gost請求的數(shù)據(jù)的數(shù)據(jù)包

http.request.method?==?"GOST"


數(shù)據(jù)流跟蹤

在某個http數(shù)據(jù)包或tcp數(shù)據(jù)包中右鍵選擇追蹤流，可以將HTTP流或TCP流匯聚或還原成數(shù)據(jù)，在彈出的框中可以看到數(shù)據(jù)內(nèi)容。

根據(jù)數(shù)據(jù)包類型的不同，這里的選項也有所差異。因為我這里選擇的是TCP協(xié)議。所以右鍵追蹤流的時候,只能選擇TCP流

導(dǎo)出某個數(shù)據(jù)包文件

選中我們要保存的數(shù)據(jù)包。之后在數(shù)據(jù)包被格式化之后的欄中找到Portable Network Graphics。取首字母的話也就是PNG。 其他文件類型于此相似。都是取首字母。右鍵之后。點擊顯示分組字節(jié)。

效果

更多精彩文章 歡迎關(guān)注微信公眾號 kali黑客筆記