title: WIRESHARK初識
date: 2016-04-11 08:48:52
tags: kali第五章 基本工具
0x00 WIRESHARK簡介
wireshark前稱Ethereal腊脱,是一個網(wǎng)絡封包分析軟件。網(wǎng)絡封包分析軟件的功能是擷取網(wǎng)絡封包来屠,并盡可能顯示出最為詳細的網(wǎng)絡封包資料虑椎。Wireshark使用WinPCAP作為接口震鹉,直接與網(wǎng)卡進行數(shù)據(jù)報文交換(---百度百科)作為一款強大的抓包嗅探和協(xié)議分析工具俱笛,熟練的掌握它是安全專家必備技能!
wireshark本身只是對網(wǎng)絡流量進行分析而不會去抓包传趾,wireshark下的抓包組件引擎主要有兩個:
- linux-Libpcap9
- windows-Winpcap10
衡量一個網(wǎng)絡分析工具的強大與否最重要的一個參數(shù)指標就是它的解碼能力迎膜,而wireshark在主流的分析軟件中的解碼能力是首屈一指的!
0x01 WIRESHARK的基本使用方法
wireshark是kali的十大安全工具之一浆兰,所以在kali2.0下我們很容易的就能找到她了磕仅!
- 指定抓包網(wǎng)卡
在start的下拉框下指定抓取哪個網(wǎng)卡的進入流量,同樣也可以選擇interface list指定使用哪塊網(wǎng)卡簸呈! - interface list下的options:
- 可以看到默認打鉤的那一項Use promiscuous mode on all interfaces:抓取哪些經(jīng)過我的網(wǎng)卡的但是并不是發(fā)送給我的數(shù)據(jù)包榕订,不勾選則是不會抓取除了我本地網(wǎng)卡綁定的IP之外的數(shù)據(jù)包的!但如果你想了解下你所在的網(wǎng)絡里的所有的機器傳輸數(shù)據(jù)的情況則必須選擇混雜模式蜕便!
- Cpature Filter(抓包篩選器):為了減少混雜模式下所抓取的大量數(shù)據(jù)包對分析所產(chǎn)生的影響劫恒,我們可以過濾掉那些我并不想要抓取的數(shù)據(jù)包!點擊Capture Filter選則格式抓取指定類型的數(shù)據(jù)包!
0x02 對抓取的數(shù)據(jù)進行保存
菜單欄>File>Save!只要是對數(shù)據(jù)保存的格式的選擇两嘴,建議選擇兼容性最好的Wireshark/tcpdumo/-pcap格式丛楚!最后好可以選擇gzip對數(shù)據(jù)包進行壓縮!以后便可以將其提取出來進行分析了憔辫!
0x03 WIRESHRK界面初識
Edit->Preferences(首選項):界面布局趣些,對wireshark進行主題,顏色贰您,字體等選擇坏平!
0x04 WIRESHARK篩選器
- 抓包篩選器(Display Filters)
- 顯示篩選器(Capture Filters)
0x05 常見協(xié)議包
- Arp:
- lcmp:
- TCP:
- UDP:
- DNS:
- HTTP:
- FTP:
