iT邦幫忙

2024 iThome 鐵人賽

DAY 14
0

Wireshark 是一種強大的網絡協議分析工具,允許用戶監控、捕獲並分析網絡封包。通過抓取封包,Wireshark 可以用來診斷網絡問題、進行安全審計、以及檢查特定網絡活動。

抓取封包的基本步驟:

  1. 安裝 Wireshark

下載並安裝 Wireshark(Windows、macOS 或 Linux 平台)。
在一些操作系統上,你可能需要安裝額外的網卡驅動來支持封包抓取(例如 Windows 上的 Npcap)。
2. 選擇網絡介面

打開 Wireshark,主界面會顯示可用的網絡接口。
選擇你要監控的網絡接口(例如,Wi-Fi 或以太網接口)。接口旁邊的網絡活動圖可以幫助你選擇正在活動的接口。
3. 開始抓包

點擊介面旁邊的「開始捕獲」按鈕。
Wireshark 會開始實時監控並捕獲通過所選接口的網絡封包。
4. 過濾封包

抓取封包後,你可以在過濾器欄位中設置過濾條件來篩選出你感興趣的封包。
常見過濾表達式:
ip.addr == 192.168.1.1:過濾與指定 IP 地址相關的封包。
http:過濾 HTTP 流量。
tcp.port == 80:過濾通過 TCP 80 端口的流量(HTTP)。
ssl 或 tls:過濾 HTTPS 或其他加密流量。
udp:過濾 UDP 流量。
5. 分析封包

每個封包由三個主要部分組成:
封包摘要列表:顯示封包的時間、來源、目的地址、協議類型和簡要描述。
封包細節視圖:展示封包的詳細內容,按協議層次展示每一層的內容,如以太網、IP、TCP 等。
封包原始數據視圖:以十六進制和 ASCII 形式顯示封包的原始數據。
你可以點擊某個封包來檢查其詳細內容,進一步了解協議的工作方式或封包數據。
6. 停止抓包

當你完成封包捕獲後,點擊工具欄上的「停止」按鈕停止抓包。
抓取的封包數據可以保存為 .pcap 文件以供稍後分析。
進階分析功能:

  1. 追踪 TCP 流

Wireshark 允許你重建 TCP 流,這意味著你可以查看完整的會話,例如 HTTP 請求與回應的內容。

右鍵點擊某個 TCP 封包,選擇「追踪 TCP 流」來查看整個會話的原始數據。
2. 解碼加密流量

如果你有 HTTPS 的私鑰,Wireshark 支持解密 SSL/TLS 流量,讓你查看 HTTPS 內容。

配置 SSL 解密需要在 Wireshark 設置中提供私鑰。
3. 自動協議分析

Wireshark 能夠自動分析和顯示多種協議的細節,如 DNS、DHCP、HTTP、FTP 等。點擊具體協議層次可以看到協議字段及其值。

Wireshark 的應用場景:
網絡排錯:識別網絡延遲、丟包或網絡問題的根源。
安全分析:檢測可疑流量或潛在的攻擊,進行惡意軟件分析。
協議開發:查看應用層協議的實際運行狀況,幫助調試和優化。
流量監控:檢查網絡應用的性能,優化流量處理。
小結:
Wireshark 是一個功能豐富的工具,用來分析網絡封包。抓取封包的過程包括選擇接口、設置過濾器、分析封包的細節,並可以通過高級功能如 TCP 追踪、SSL 解密來進行深入調查。它在網絡診斷和安全領域是不可或缺的工具。
https://ithelp.ithome.com.tw/upload/images/20240930/20169445daBce6fnWB.png


上一篇
講講 DNS
下一篇
Http
系列文
從零開始開一間火鍋店並架設官網30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言