前言
wireshark是一个很强的抓包工具,但在大文件抓取上性能会较差
在Linux上是用libpcap抓包的
启动时可能有报错,无视即可
混杂模式:可以抓取整个网络里的数据包
capture filter:筛选器
抓包格式建议pcap
1、 wireshark常见协议熟悉
主要是熟悉包头结构和每个字段的作用
常见的协议有以下这些
- ARP
- lcmp
- tcp
- udp
- dns
- http
- ftp
2、wireshark数据流
在具体的数据包上右键->follow tcp stream
- http
- smtp
- pop3
- ssl
前三个都是明文的
3、wireshark信息统计
官网上有好多供研究的数据包文件
信息统计功能基本都在菜单栏的statistics
- 节点数
- 协议分布
- 包大小分布
- 会话连接
- 解码方式
- 专家系统
结语
这个工具是图形化界面的
就主要是自己熟悉
以下三篇博文分别讲了原理、操作界面和实践例子:
https://blog.csdn.net/AlexSmoker/article/details/104112251?ops_request_misc=%7B%22request%5Fid%22%3A%22158165486019726869031301%22%2C%22scm%22%3A%2220140713.130056874..%22%7D&request_id=158165486019726869031301&biz_id=0&utm_source=distribute.pc_search_result.none-task
https://blog.csdn.net/qq_33936481/article/details/51172049
https://blog.csdn.net/weixin_43803070/article/details/90300289