Wireshark 是一款廣泛使用的開源網路協定分析工具，能夠捕捉和解析網路封包，顯示協定層級的詳細資料。它在資安診斷、網路故障排除、滲透測試與協定研究等領域都有廣泛應用。透過 Wireshark，我們可以觀察網路流量，分析每個封包的結構與內容，從中發現異常行為、潛在漏洞與安全威脅。

⸻

一、Wireshark 的基本概念與安裝

Wireshark 支援多種操作系統，包括 Windows、macOS 和 Linux。安裝完成後，Wireshark 能夠捕捉網路介面上的所有傳輸封包，並根據協定進行詳細解析。

安裝步驟：
1. 前往 Wireshark 官網（https://www.wireshark.org/download.html）下載最新版本。
2. 安裝時，選擇適合系統的版本。
3. 安裝過程中可選擇安裝 WinPcap 或 Npcap（Windows 用於捕捉封包）。
4. 啟動 Wireshark 並選擇要捕捉的網路介面（例如 Ethernet、Wi-Fi）。

⸻

二、Wireshark 基本功能介紹

Wireshark 的主要功能是捕捉網路流量，然後根據協定將封包進行詳細解析。其界面分為三個主要區域：
1. 封包列表區（Packet List）：顯示所有捕獲的封包，每個封包都有時間戳、來源與目的 IP、協定類型等基本資訊。
2. 封包詳細資訊區（Packet Details）：選中某個封包後，Wireshark 會解析並顯示封包的層次結構（例如 Ethernet、IP、TCP/UDP 等協定層）。
3. 封包資料區（Packet Bytes）：顯示該封包的十六進位數據，並附帶 ASCII 解碼。

⸻

三、實作步驟 — 使用 Wireshark 進行封包分析

步驟 1：啟動 Wireshark 並開始捕捉
1. 啟動 Wireshark，選擇要捕捉的網路介面（例如以太網卡或 Wi-Fi）。
2. 點擊「Start」按鈕，開始捕捉網路流量。
3. 設定過濾器，例如捕捉特定協定或 IP 地址的流量。
• 例如，若要捕捉 HTTP 流量，可以在過濾器中輸入 http。
• 若要捕捉特定 IP 地址的流量，則可輸入 ip.addr == 192.168.1.1。

步驟 2：檢視封包
1. 捕捉到流量後，可以在「Packet List」區域看到每一個封包的摘要，包括時間、來源/目的 IP、協定、長度等。
2. 點選某個封包，Wireshark 會自動解析封包並顯示詳細資訊，通常包括：
• 以太網（Ethernet） 層的 MAC 地址與協定類型（例如 IPv4 或 ARP）。
• IP 層 顯示來源/目的 IP、TTL（生存時間）、協定（如 TCP 或 UDP）。
• 傳輸層（TCP/UDP） 顯示端口號、序列號、確認號、標誌位（如 SYN、FIN、ACK）。

步驟 3：使用過濾器分析特定流量
1. Wireshark 支援多種過濾器，可根據協定、IP 地址、端口號等條件篩選封包。
• 範例過濾器：
• tcp.port == 80：過濾所有 HTTP 流量。
• ip.src == 192.168.1.1：過濾來源為 192.168.1.1 的封包。
• http.request：過濾 HTTP 請求封包。

步驟 4：檢查常見協定流量
1. TCP 流量分析：分析 TCP 握手過程、數據傳輸過程與四次揮手過程。
2. HTTP 流量分析：捕捉並分析 HTTP 請求與回應，查看如 HTTP 方法、URL、標頭、內容類型等資訊。
3. DNS 查詢：使用 dns 過濾器捕捉 DNS 查詢與解析，查看是否有不正常的 DNS 請求。

⸻

四、常見分析技巧
1. TCP 三次握手過程
透過 Wireshark 檢查 TCP 握手過程，可以看到：
• 客戶端發送 SYN 請求，伺服器回應 SYN-ACK，客戶端回應 ACK，完成連線建立。
• 確保這些過程正常並無異常中斷。
2. HTTP 請求/回應分析
查看 HTTP 請求與回應的詳細內容，分析網站上的請求參數、響應標頭、狀態碼等。
• 特別注意 HTTP/1.1 301 或 302 重定向，是否存在潛在的可疑行為或攻擊。
3. 協定分析與漏洞檢測
使用 Wireshark 檢查常見協定的漏洞：
• DNS 回應篡改：確認 DNS 回應是否正確。
• TLS 加密強度檢查：查看是否存在使用不安全的 SSL/TLS 版本（如 SSLv3、TLS 1.0）。

⸻

五、分析結果與報告輸出
1. 生成過濾報告
在 Wireshark 中選擇「File → Export Packet Dissections → As Plain Text」將捕獲結果匯出為文本報告，便於後續分析或整理。
2. 生成統計圖表
使用「Statistics」菜單中的各種功能（例如流量、協定分布圖）來可視化網路流量，識別異常流量。

⸻

六、實務應用場景
• 網路故障排除：使用 Wireshark 捕捉與分析封包，檢查網路延遲、丟包或無法連線的原因。
• 滲透測試：Wireshark 可以用來偵測攻擊活動，如中間人攻擊、惡意流量等。
• 資料泄露與不正當訪問：分析 HTTP 請求與回應，檢查是否存在未授權的資料泄露或敏感資訊暴露。

⸻

七、注意事項與倫理
• 合法性：使用 Wireshark 進行封包捕捉必須是在自己有權限的網路環境中進行，不得擅自監聽他人網路流量。
• 隱私：Wireshark 能捕捉到大量的敏感資料（如密碼、信用卡號），因此使用時要非常小心。

⸻

結語

Wireshark 是資安專業人員與網路管理員的必備工具，無論是用於故障排除還是進行安全分析，掌握其基本操作與封包分析技術都能大大提高對網路安全事件的反應能力。透過本次實作，我們學會了如何捕捉並分析網路封包，從中識別問題並提出防禦建議