抓包工具Wireshark的使用.pptxVIP

局域网安全实战教程曲广平烟台职业学院网络基础理论知识Wireshark的使用DCRS6200交换机的基本配置MAC泛洪攻击DHCP攻击ARP欺骗攻击Spanning Tree协议安全攻防Wireshark的使用1. Wireshark介绍开源的WiresharkWireshark是目前使用最为广泛的开源抓包软件，其前身为Ethereal。Wireshark由Gerald Combs编写并于1998年以GPL开源许可证发布。在SecTools安全工具排行榜中稳居榜首。官网：/Wireshark工作原理Wireshark的核心功能是捕捉网络数据包，并显示出数据包中的详细信息。底层需要Winpcap的支持。正常情况下，当网卡收到数据帧时，会查看目的MAC和本网卡的MAC是否相同。如果不同就丢弃帧，如果相同就接收帧并交给上一层处理。对于广播帧，网卡会接收，但是不做处理。启动Wireshark后，网卡被置为混杂模式，只要数据帧能达到网卡，不论帧的目的MAC和本网卡的MAC地址是否相同，网卡将全部接收并交给Wireshark处理。Wireshark工作界面Packet list显示抓到的数据包Packet details数据包的详细信息Packet bytes数据包的原始形态数据包列表数据包的信息从左至右：数据包序号、数据包被捕获的相对时间、数据包的源地址、数据包的目的地址、数据包的协议、数据包的大小、数据包的概况信息。特定数据包的信息第一行显示的是数据包的整体信息，包括它的编号、大小等。从第二行开始是按照数据链路层、网络层、传输层、应用层的顺序分层显示数据包的信息可以点击左侧的+来展开显示某个层中的全部内容。双击某个数据包，可以打开一个单独的窗口显示数据包的内容。Wireshark的使用2. 网络通信过程抓包分析设备地址服务器A：MAC地址00-0c-29-bb-bb-7f，IP地址29/24服务器B：MAC地址00-0C-29-8C-BF-6D， IP地址/27默认网关：MAC地址00-50-56-fe-c8-98， IP地址/24抓到的数据包Wireshark的使用3. 使用过滤器Wireshark中的两种过滤器捕获过滤器：在抓包之前就设定好过滤条件，然后只抓取符合条件的数据包。显示过滤器：在已捕获的数据包集合中设置过滤条件，隐藏不想显示的数据包，只显示符合条件的数据包。捕获过滤器使用捕获过滤器的主要原因是性能，只抓取指定类型的数据包，从而节省处理器资源。当处理大量数据的时候，使用捕获过滤器相当好用。在Wireshark的初始界面设置捕获过滤器。捕获过滤器语法规则语法格式： 协议 方向 类型 数据协议：ether、ip、arp、tcp、udp、http、ftp……，默认使用所有支持的协议。方向：src、dst，默认使用“src or dst”作为关键字。例如，“host ”与“src or dst host ”是一样的。类型：net、port、host，默认使用”host”关键字。例如，“src ”与“src host ”相同。逻辑运算符逻辑与逻辑或||逻辑非!src 0 port 80只捕获源地址是0并且源端口或目的端口是80的数据包。根据主机名和地址过滤host 0 //只抓取IP地址为0的数据包ether host 00-50-56-C0-00-01 //指定MAC地址进行过滤src host 0 //从0发出的数据包dst host 0 //发往0的数据包ether src host 00-50-56-C0-00-01 //从00-50-56-C0-00-01发出的数据包ether dst host 00-50-56-C0-00-01 //发往00-50-56-C0-00-01的数据包host在表达式中是默认选项，上面的表达式无论是否加上host都表达相同含义。根据端口和协议过滤port 8080 //只捕获8080端口的流量!port 8080 //捕获8080端口外的所有流量dst port 8080 //只捕获前往8080端口的流量icmp //只捕获ICMP流量!broadcast //不要抓取广播包显示过滤器显示过滤器主要适用于单机环境流量不大的情况。对于个人用户，显示过滤器相比捕获过滤器要更为常用。如果过滤器语法正确，表达式的背景呈绿色。如果呈红色，说明表达式有误。比较运算符ip.addr == //筛选出含有IP地址的包ip.src == //筛选出源地址为的包ip.dst == //筛选出目的地址为的包frame.len=128 //只显示长度小于128字节的包tcp.port == 80 //只显示含有80端口的包tcp.dstport == 25 //