网络攻防工具介绍——Wireshark

网络攻防工具介绍

Wireshark##

简介###

Wireshark（前称Ethereal）是一个网络封包分析软件。它是一个理想的开源多平台网络协议分析工具。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。它可以让你在一个活动的网络里捕获并交互浏览数据，根据需求分析重要的数据包里的细节。

网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作——只是将场景移植到网络上，并将电线替换成网络线。在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。Ethereal的出现改变了这一切。Ethereal是目前全世界最广泛的网络封包分析软件之一。

发展历史##

1997年底，GeraldCombs需要一个能够追踪网络流量的工具软件作为其工作上的辅助。因此他开始撰写Ethereal软件。Ethereal在经过几次中断开发的事件过后，终于在1998年7月释出其第一个版本v0.2.0。自此之后，Combs收到了来自全世界的修补程式、错误回报与鼓励信件。Ethereal的发展就此开始。不久之后，GilbertRamirez看到了这套软件的开发潜力并开始参予低阶程式的开发。1998年10月，来自NetworkAppliance公司的GuyHarris在寻找一套比tcpview（另外一套网络封包撷取程式）更好的软件。于是他也开始参与Ethereal的开发工作。1998年底，一位在教授TCP/IP课程的讲师RichardSharpe，看到了这套软件的发展潜力，而后开始参与开发与加入新协定的功能。在当时，新的通讯协定的制定并不复杂，因此他开始在Ethereal上新增的封包撷取功能，几乎包含了当时所有通讯协定。

自此之后，数以千计的人开始参与Ethereal的开发，多半是因为希望能让Ethereal撷取特定的，尚未包含在Ethereal默认的网络协定的封包而参予新的开发。2006年6月，因为商标的问题，Ethereal更名为Wireshark。

工作流程##

1. 确定Wireshark的位置。如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。
2. 选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。
3. 使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。
4. 使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。
5. 使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。
6. 构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。
7. 重组数据。Wireshark的重组功能，可以重组一个会话中不同数据包的信息，或者是一个重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数据包中。为了能够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。

部分功能示例##

安装完毕后打开Wireshark，下面是进入后的欢迎界面。

接下来选择要进行抓包的网卡

开始抓包后网卡收到和发出的一部分数据包

筛选出其中的arp协议数据包

打开某个数据包可以看见广播发出者的mac地址等其他信息

当前局域网内网关地址为10.43.32.1

过滤表达式的规则###

表达式规则

1. 协议过滤
   
   比如TCP，只显示TCP协议。
2. IP 过滤
   
   比如 ip.src 192.168.1.102 显示源地址为192.168.1.102，
   
   ip.dst192.168.1.102, 目标地址为192.168.1.102
3. 端口过滤
   
   tcp.port ==80, 端口为80的
   
   tcp.srcport == 80, 只显示TCP协议的愿端口为80的。
4. Http模式过滤
   
   http.request.method=="GET", 只显示HTTP GET方法的。
5. 逻辑运算符为 AND/ OR
   
   常用的过滤表达式

    过滤表达式	                                            用途
      http	                                       只查看HTTP协议的记录
ip.src ==192.168.1.102 or ip.dst==192.168.1.102	   源地址或者目标地址是192.168.1.102

封包列表(Packet List Pane)###

封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。 你可以看到不同的协议用了不同的颜色显示。

你也可以修改这些显示颜色的规则， View ->Coloring Rules.

封包详细信息 (Packet Details Pane)###

这个面板是我们最重要的，用来查看协议中的每一个字段。

各行信息分别为

Frame: 物理层的数据帧概况

Ethernet II: 数据链路层以太网帧头部信息

Internet Protocol Version 4: 互联网层IP包头部信息

Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP

Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议