Wireshark是目前最好的网络流量分析器和数据包嗅探器。在本文中,我们将详细介绍Wireshark。
Wireshark是一种网络分析器,可让您查看网络上发生的情况。Wireshark允许您在微观级别剖析网络数据包,为您提供有关单个数据包的深入信息。
Wireshark于1998年首次发布。那时候叫空灵。Wireshark可以在所有主要操作系统上运行。大多数企业和政府组织现在更喜欢使用Wireshark作为其标准网络分析器。
Wireshark也是完全开源的,这要归功于世界各地的网络工程师社区。虽然大多数安全工具都是基于CLI的,但Wireshark提供了一个非常棒的用户界面。
我假设您是网络方面的新手,因此我们将介绍一些OSI模型的基础知识。这对于理解Wireshark的核心功能非常重要。
开放式系统互联(OSI)模型标准化了两台或多台设备相互连接的方式。OSI模型将网络体系结构划分为7层:应用层、表示层、会话层、传输层、网络层、数据链路层和物理层。
物理层-负责设备之间的实际物理连接。数据以位的形式传输。
网络层-负责查找发送数据的最佳(和最快)方式。发送方和接收方的IP地址将添加到该层的报头中。
传输层-充当网络和会话层之间的桥梁。使用TCP和UDP等协议发送和接收数据。这一层的数据称为段。
表示层-此处将数据段中的数据转换为更人性化的格式。负责加密和解密。
应用层-与用户交互的层。如果您使用的是浏览器,则它位于应用层。
如果您有兴趣了解更多关于OSI模型的信息,这里有一篇详细的文章。
现在您已经很好地掌握了OSI模型,让我们来看一下网络数据包。当数据从一台计算机传输到另一台计算机时,数据流由称为数据包的较小单元组成。
当您从Internet下载文件时,数据将作为数据包从服务器发送。这些数据包由您的计算机重新组装,为您提供原始文件。
每个数据包都包含有关数据包传输中涉及的设备的重要信息。每次数据传输都涉及在源设备和目的设备之间发送数千个甚至数百万个这样的数据包。
现在您应该已经理解了Wireshark的重要性。Wireshark允许您捕获每个数据包并检查它们的数据。
Wireshark对于网络工程师来说,类似于生物学家的显微镜。Wireshark允许您“监听”实时网络(在您与其建立连接之后),动态捕获和检查数据包。
作为网络工程师或道德黑客,您可以使用Wireshark来调试和保护您的网络。作为一个坏人(我不推荐这样做),你可以“嗅探”网络中的数据包,并捕获信用卡交易等信息。
这就是为什么连接到星巴克这样的公共网络并进行金融交易或访问私人数据是不明智的。即使使用HTTPS的站点可以加密您的数据包,它仍然可以在网络上看到。如果有人真的想破解它,他们可以的。
现在让我们看看如何使用Wireshark。从此处下载并安装Wireshark。
与大多数渗透测试工具不同,Wireshark有一个令人敬畏的GUI。以下是加载Wireshark时的外观。
Wireshark列出了您连接的网络,您可以选择其中一个并开始侦听网络。
此窗格显示捕获的数据包。每行代表一个单独的数据包,您可以使用其他两个窗格单击并详细分析该数据包。
您可以选择一个数据包,然后使用数据包详细信息窗格更详细地查看数据包信息。它显示数据包中包含的信息,如IP地址、端口和其它信息。
此窗格提供所选数据包的原始数据(以字节为单位)。数据显示为十六进制转储,它以十六进制显示二进制数据。
Wireshark具有过滤器,可帮助您缩小要查找的数据类型。有两种主要类型的筛选器:捕获筛选器和显示筛选器。
您可以在开始分析网络之前设置捕获过滤器。设置捕获筛选器时,它只捕获与捕获筛选器匹配的数据包。
例如,如果您只需要监听从IP地址发送和接收的数据包,则可以按如下方式设置捕获过滤器。
一旦设置了捕获筛选器,在当前捕获会话完成之前,您无法对其进行更改。
显示过滤器用于捕获数据包。例如,如果您只想显示源自特定IP的请求,则可以按如下方式应用显示筛选器:
由于显示过滤器应用于捕获的数据,因此可以动态更改。
简而言之,捕获筛选器使您能够过滤流量,而显示筛选器则将这些筛选器应用于捕获的数据包。由于Wireshark可以在繁忙的网络上捕获数百个数据包,因此这些数据包在调试时非常有用。
现在您已经很好地掌握了Wireshark的基础知识,让我们来看看一些核心功能。借助Wireshark,您可以:
Wireshark每年都在网络安全工具排行榜上名列前茅。由于其简单而强大的用户界面,Wireshark易于学习和使用。在每个渗透测试员的工具包中,它都是一项宝贵的资产。
希望本文能帮助您牢牢掌握Wireshark。我最近写了一篇关于作为网络安全工程师应该知道的十大工具的文章。如果你对网络安全感兴趣,一定要检查一下。