入門計算機網(wǎng)絡(luò)學(xué)習(xí)工具之wireShark

老友mk09qda3vs 2020-01-12

展開全文

計算機網(wǎng)絡(luò)學(xué)習(xí)過程中，你會發(fā)現(xiàn)有各種各樣的協(xié)議，每種協(xié)議又有各種各樣的格式和要求，你會發(fā)現(xiàn)今天記住了，明天忘。那么問題來了，我們該怎么辦？很簡單，之所以你今天記住了，明天忘，那是因為你沒有真的記住，沒有見過實際協(xié)議的運轉(zhuǎn)流程，計算機網(wǎng)絡(luò)中的協(xié)議，你只靠腦子記憶是不行的，你必須動手去看一下，數(shù)據(jù)是怎么加頭部尾部信息的，又是怎么解包的等等。這里牽扯到兩個問題，怎么查看軟件層的信息，怎么查看硬件層的信息

軟件層面的信息查看推薦使用 wireShark 抓包一個一個的看，協(xié)議是怎么執(zhí)行的

硬件層面的信息查看推薦使用Cisco packet tracer 構(gòu)建物理結(jié)構(gòu)，查看協(xié)議怎么執(zhí)行

今天我們介紹使用wireShark，本文只是介紹其中的常用功能，沒有面面俱到，看完本文之后，可以立馬上手使用。

wireShark

wireShark可以使用兩種方式研究數(shù)據(jù)包，一種是建立規(guī)則抓取固定規(guī)則的數(shù)據(jù)包，一種是抓取全部數(shù)據(jù)包后，建立規(guī)則過濾數(shù)據(jù)包。接下來我們分別介紹。

建立規(guī)則抓取數(shù)據(jù)包

捕獲前規(guī)則建立

打開軟件后，單擊捕獲→選項就可以出現(xiàn)上圖畫面。在所選擇接口的捕獲過濾器中定義規(guī)則。規(guī)則如下

1.類型 host port net

host 指主機地址規(guī)則是 host ip 實例 host 192.0.2.1

port 指端口規(guī)則是 port 端口號實例 port 80

過濾主機地址

2.方向 src dst

src 指源地址也就是發(fā)出信息的地址規(guī)則是 src 主機/端口 ip/端口號實例 src host 192.0.2.1 src port 80

dst 指目的地址也就是信息的目的地規(guī)則是 dst 主機/端口 ip/端口號實例 dst host 192.0.2.1 dst port 80

指定方向

3 協(xié)議類型 http dns tcp udp ftp telnet

直接輸入?yún)f(xié)議名稱 http

指定協(xié)議

4 邏輯運算與&& 或|| 非！

比如過濾多個條件 src host 192.0.2.1 && dst port 80

邏輯運算

抓取數(shù)據(jù)包后過濾

抓取數(shù)據(jù)包后，過濾方法與抓取前定義規(guī)則比較類似，但是還是有一些不一樣的地方

1 過濾地址規(guī)則 ip.addr = ip地址實例 ip.addr == 192.168.1.7

過濾地址

2 過濾端口規(guī)則協(xié)議名.port == 端口號實例 tcp.port == 80 udp.port == 80

3 過濾協(xié)議直接輸入需要過濾的協(xié)議即可 tcp udp http ftp

4 邏輯運算 and or 例如 tcp.port == 80 or udp.port == 80

邏輯運算

開始抓包

基本的過濾規(guī)則學(xué)會了，然后開始過濾吧。

抓包數(shù)據(jù)展示

百度輸入網(wǎng)址，打開wireshark開始興致勃勃的抓包，一看抓出來的包怎么這么多，我怎么看，有DNS的，有TCP，有HTTP。這里插個體外話，介紹一下為什么會有那么多的協(xié)議出現(xiàn)。

當(dāng)你在百度輸入一個網(wǎng)址，首先需要使用DNS協(xié)議，將網(wǎng)址轉(zhuǎn)化為ip地址，然后由于你需要訪問網(wǎng)頁，需要使用HTTP協(xié)議，而HTTP協(xié)議的數(shù)據(jù)是使用TCP協(xié)議傳輸?shù)模阅阕グ臅r候會看到DNS,TCP,HTTP等等的協(xié)議，有時候你還會看到ARP協(xié)議。

怎么辦？使用wireshark中的高級功能，流追蹤功能。