Kali学习笔记4：Wireshark详细使用方法

Kali Linux自带Wireshark工具使用介绍：

1.进入界面

这里Lua脚本报错，无需关注

开始使用：

双击第一个eth0：以太网0，开始抓包：

点击上边的这个按钮可以设置：

这里注意：需要选择混杂模式，获取机器所有以太网连接包

作用：不发送给当前IP的数据包也会抓取

同时我们观察到，下边这个捕获过滤器，这个有什么用呢？

通常我们抓获的数据包都有很多，这里的过滤器作用就是过滤得到我们需要的数据包。

使用方式：

点击绿色按钮再管理界面：

在这里就可以设置各种，可以按需求自己按照格式书写，点击加号新建：

好的，我们选择抓本机的包：192.168.87.132：

点击开始，然而，并没有反应

我们ping 一下其他IP

这时候打开wireshark，发现有数据了

抓取到的这些数据包可以保存下来，以后看，点击文件中的保存即可

我们还可以在编辑的首选项中设置适合自己的布局、在列中设置每一列需要显示的内容（通常默认设置足以满足我们的需求）：

好的，刚才我们设置的是抓包筛选器（总闸）

接下来看看显示筛选器：对抓取到的数据包进行筛选

我们实际使用的其实通常是显示筛选器：

比如这里我们只需要ARP协议：

可以手动输入，也可以自动：

比如我只看192.168.1.1的：

选中后，它会自动生成匹配规则：

也可以多选一些，多种组合：

可以查看抓取包的详细信息，以一个ARP协议包为例：

看一个TCP协议包：

我们发现这里为1，说明这个包是TCP协议的ACK数据包

简单介绍下TCP协议：

在客户机和服务器之间建立正常的TCP网络连接时

客户机首先发出一个SYN消息

服务器使用SYN+ACK应答表示接收到了这个消息

最后客户机再以ACK消息响应

这样在客户机和服务器之间才能建立起可靠的TCP连接

再看一个DNS协议：

这是一个查询的DNS数据包：

这是一个响应包：

具体数据：

我们最常见的其实是HTTP协议：

访问下百度看看：

通常HTTP协议是80端口，但是如果有些奇葩网站，偏要使用81端口，那么Wireshark无法自动解析，我们可以这样：

右键解码为：

点击添加相应的端口即可（81）

这时候81端口就会解析为HTTP协议

Wireshark还有一个follow stream的功能，会跟踪你的访问：

右键，这里有个追踪流：

通常我们追踪TCP流：

从这里可以看到：

我发送了一个GET请求，服务器响应了一个200状态码

在这里就可以完整观察一个连接过程

我们可以再看看TCP数据包：

这里我们可以发现，我们看不懂TCP数据包，而HTTP数据包能看懂？

因为，HTTP是明文传输的，我们可以看出来内容

于是产生了HTTPS加密，我们抓包HTTPS，基本就无法看出来了

我们可以看一个SSL：

看不懂？没错，这就是HTTPS加密

基本功能的使用就到这里了，还有一些统计等等功能。