iT邦幫忙

2025 iThome 鐵人賽

DAY 16
0
佛心分享-IT 人自學之術

從零開始的 Linux 世界系列 第 16

【Day.16】滲透測試的第二步:WireShark 介面操作與認識

  • 分享至 

  • xImage
  •  

安裝好 WireShark 之後我們打開它來看一下介面。上方有工具列我們一個一個來介紹一下它的功能是什麼!

✒️ WireShark 介面

https://ithelp.ithome.com.tw/upload/images/20250930/20176048xPZX3v9Reb.jpg

紅色框起來的部分就是你目前 Kali Linux 環境中可以擷取封包的的網路訊號,裡面包括:

  1. Ethernet 有線網路介面(eth0):我們是使用 WSL 開啟 Kali Linux 所以這邊也代表 vEthernet 虛擬網路。
  2. 所有網路(any):把所有介面流量都抓下來
  3. 本機流量介面(Loopback: lo):可以抓 127.0.0.1 的封包。
  4. 藍芽(bluetooth-monitor):藍芽的流量封包。
  5. 防火牆(nfqueue / nflog):防火牆框架產生的封包。
  6. Linux 系統匯流排(dbus-system / dbus-session):不是主要的網路流量,但可以被截取。
  7. 遠端截取選項(Remote Capture options)
    1. Ciscodump:Cisco 遠端截取。
    2. randpkt:隨機封包產生器。
    3. sshdump:透過 ssh 遠端截取封包。
    4. udpdump:透過 UDP 遠端截取封包。
    5. wifidump:透過 Wifi 遠端截取封包。

目前來說,我們應該使用 eth0 來擷取 Windows 和 Kali Linux 之間互通的封包流量,你可以用滑鼠快速點擊兩下來打開封包截取介面。

🍀 工具列介紹

https://ithelp.ithome.com.tw/upload/images/20250930/201760486uv15L0R38.jpg

當你打開 eth0 的時候會看到一片黑漆漆的畫面,這正是我們截取封包時需要的畫面,每當有流量通過 vEthernet 的時候就會出現一個封包資料,我們可以透過上方的工具列來操作這個封包。

首先,我們從左邊往右開始看:

  1. 開始:啟動封包擷取,會從你選定的網路介面開始抓取流量。
  2. 停止:結束目前的封包擷取。
  3. 重新開始:結束目前的擷取並立即重新啟動一次新的擷取。
  4. 選擇其他來源:選擇不同的網路介面或遠端來源來擷取封包。
  5. 打開封包:從電腦中開啟一個已儲存的 .pcap.pcapng 封包檔案。
  6. 儲存封包:將目前擷取到的封包保存成檔案,以便後續分析或分享。
  7. 刪除封包:清空目前的擷取資料,視窗中將不會保留先前抓到的封包。
  8. 重開封包:重新載入目前開啟的封包檔案。
  9. 搜尋:根據條件(如 IP、協定、關鍵字)搜尋封包。
  10. 上一個:跳到符合搜尋或篩選條件的上一個封包。
  11. 下一個:跳到符合搜尋或篩選條件的下一個封包。
  12. 特殊搜尋:進階搜尋功能,例如找出特定旗標 (TCP SYN/ACK) 或協定。
  13. 第一個:直接跳到清單中的第一個封包。
  14. 最後一個:直接跳到清單中的最後一個封包。
  15. 自動下拉到最底:當有新封包進來時,自動捲動到最新封包。
  16. 封包顏色分類:依照協定類型或自訂規則,用不同顏色高亮顯示封包,方便快速區分。
  17. 放大:放大封包清單字體或內容顯示。
  18. 縮小:縮小封包清單字體或內容顯示。
  19. 正常比例:將字體或內容恢復到預設大小。
  20. 平均分配表格欄寬:自動調整欄位寬度,讓表格分配平均。
  21. 重置功能視窗:恢復所有子視窗或面板的預設佈局。

⚙️ 取得第一個封包資料

我們可以嘗試在 Windows Terminal 輸入 ping 來看看封包的資料內容。

  1. 打開 cmd
  2. 輸入 ping <your_linux_IPv4>
  3. 你會看到封包資訊

https://ithelp.ithome.com.tw/upload/images/20250930/20176048haeihepkmD.jpg

  1. 紅色框線:顯示你擷取到的所有封包資料,每一行就是一個封包。
    • No:封包編號
    • Time:時間戳記
    • Source:來源 IP 或 MAC 位址
    • Destination:目標 IP 或 MAC 位址
    • Protocol:使用的協定(例如:ICMP、TCP、UDP、HTTP、SSH)
    • Length:封包大小(bytes)
    • Info:這個協定相關的摘要,例如:ICMP 的 Echo (ping) request
  2. 綠色框線:顯示目前選中的封包,逐層對應「OSI 網路七層架構協定」的解析。
    • Frame:封包長度和截取時間
    • Ethernet II:乙太網路層的資訊(來源/目標 MAC 位址)
    • Internet Protocol(IP):來源/目標 IP、TTL、協定號碼
    • Transport Layer(TCP/UDP/ICMP):連線阜號、序號、旗標(Flags)資訊
    • Application Layer(HTTP/DNS):應用層協定的內容
  3. 藍色框線:顯示目前選中的封包的原始 16 進位(hex)和 ASCII 資料。
    • 左邊:位元組偏移量(offset)
    • 中間:十六進位內容(hex dump)
    • 右邊:ASCII 對應(如果能轉換成可讀字元會顯示出來,否則用 . 表示)

明天我們來嘗試一下用各種不一樣的網路協定,讓 Kali Linux 可以抓到 Windows 的 HTTP、TCP、UDP 封包!(會需要安裝工具才能使用,比較方便,不用輸入太多指令)。


上一篇
【Day.15】滲透測試的第二步:WireShark 封包分析器!
下一篇
【Day.17】滲透測試的第二步:WireShark 協定測試
系列文
從零開始的 Linux 世界20
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言