安裝好 WireShark 之後我們打開它來看一下介面。上方有工具列我們一個一個來介紹一下它的功能是什麼！

✒️ WireShark 介面

紅色框起來的部分就是你目前 Kali Linux 環境中可以擷取封包的的網路訊號，裡面包括：

1. Ethernet 有線網路介面（eth0）：我們是使用 WSL 開啟 Kali Linux 所以這邊也代表 vEthernet 虛擬網路。
2. 所有網路（any）：把所有介面流量都抓下來
3. 本機流量介面（Loopback: lo）：可以抓 127.0.0.1 的封包。
4. 藍芽（bluetooth-monitor）：藍芽的流量封包。
5. 防火牆（nfqueue / nflog）：防火牆框架產生的封包。
6. Linux 系統匯流排（dbus-system / dbus-session）：不是主要的網路流量，但可以被截取。
7. 遠端截取選項（Remote Capture options）
   1. Ciscodump：Cisco 遠端截取。
   2. randpkt：隨機封包產生器。
   3. sshdump：透過 ssh 遠端截取封包。
   4. udpdump：透過 UDP 遠端截取封包。
   5. wifidump：透過 Wifi 遠端截取封包。

目前來說，我們應該使用 eth0 來擷取 Windows 和 Kali Linux 之間互通的封包流量，你可以用滑鼠快速點擊兩下來打開封包截取介面。

🍀 工具列介紹

當你打開 eth0 的時候會看到一片黑漆漆的畫面，這正是我們截取封包時需要的畫面，每當有流量通過 vEthernet 的時候就會出現一個封包資料，我們可以透過上方的工具列來操作這個封包。

首先，我們從左邊往右開始看：

1. 開始：啟動封包擷取，會從你選定的網路介面開始抓取流量。
2. 停止：結束目前的封包擷取。
3. 重新開始：結束目前的擷取並立即重新啟動一次新的擷取。
4. 選擇其他來源：選擇不同的網路介面或遠端來源來擷取封包。
5. 打開封包：從電腦中開啟一個已儲存的 .pcap 或 .pcapng 封包檔案。
6. 儲存封包：將目前擷取到的封包保存成檔案，以便後續分析或分享。
7. 刪除封包：清空目前的擷取資料，視窗中將不會保留先前抓到的封包。
8. 重開封包：重新載入目前開啟的封包檔案。
9. 搜尋：根據條件（如 IP、協定、關鍵字）搜尋封包。
10. 上一個：跳到符合搜尋或篩選條件的上一個封包。
11. 下一個：跳到符合搜尋或篩選條件的下一個封包。
12. 特殊搜尋：進階搜尋功能，例如找出特定旗標 (TCP SYN/ACK) 或協定。
13. 第一個：直接跳到清單中的第一個封包。
14. 最後一個：直接跳到清單中的最後一個封包。
15. 自動下拉到最底：當有新封包進來時，自動捲動到最新封包。
16. 封包顏色分類：依照協定類型或自訂規則，用不同顏色高亮顯示封包，方便快速區分。
17. 放大：放大封包清單字體或內容顯示。
18. 縮小：縮小封包清單字體或內容顯示。
19. 正常比例：將字體或內容恢復到預設大小。
20. 平均分配表格欄寬：自動調整欄位寬度，讓表格分配平均。
21. 重置功能視窗：恢復所有子視窗或面板的預設佈局。

⚙️ 取得第一個封包資料

我們可以嘗試在 Windows Terminal 輸入 ping 來看看封包的資料內容。

1. 打開 cmd
2. 輸入 ping <your_linux_IPv4>
3. 你會看到封包資訊

1. 紅色框線：顯示你擷取到的所有封包資料，每一行就是一個封包。
   • No：封包編號
   • Time：時間戳記
   • Source：來源 IP 或 MAC 位址
   • Destination：目標 IP 或 MAC 位址
   • Protocol：使用的協定（例如：ICMP、TCP、UDP、HTTP、SSH）
   • Length：封包大小（bytes）
   • Info：這個協定相關的摘要，例如：ICMP 的 Echo (ping) request
2. 綠色框線：顯示目前選中的封包，逐層對應「OSI 網路七層架構協定」的解析。
   • Frame：封包長度和截取時間
   • Ethernet II：乙太網路層的資訊（來源/目標 MAC 位址）
   • Internet Protocol（IP）：來源/目標 IP、TTL、協定號碼
   • Transport Layer（TCP/UDP/ICMP）：連線阜號、序號、旗標（Flags）資訊
   • Application Layer（HTTP/DNS）：應用層協定的內容
3. 藍色框線：顯示目前選中的封包的原始 16 進位（hex）和 ASCII 資料。
   • 左邊：位元組偏移量（offset）
   • 中間：十六進位內容（hex dump）
   • 右邊：ASCII 對應（如果能轉換成可讀字元會顯示出來，否則用 . 表示）

明天我們來嘗試一下用各種不一樣的網路協定，讓 Kali Linux 可以抓到 Windows 的 HTTP、TCP、UDP 封包！（會需要安裝工具才能使用，比較方便，不用輸入太多指令）。