文章目录介绍捕获数据包的原理下载地址Wireshark 基本使用方式启动 Wireshark捕获数据包停止捕获网卡选择基础操作界面介绍Wireshark 捕获过滤器示例捕获特定 IP 地址的数据包**捕获特定端口的流量捕获特定协议的数据包捕获某个网络范围的流量组合条件Wireshark 显示过滤器显示过滤器语法按协议过滤按 IP 地址过滤按端口过滤按协议字段过滤组合过滤器组合过滤器捕获模式混杂模式普通模式追踪流1. 如何启动追踪流2. 流窗口界面解析3. 支持的协议类型适用场景1. 排查应用层协议问题2. 安全分析3. 网络性能优化实际案例分析分析 HTTP 登录过程诊断 TCP 连接超时解密 HTTPS 流量TLS 流介绍Wireshark前身是Ethereal是一个网络封包分析软件目前是全球使用最广泛的开源抓包软件别名小鲨鱼或者鲨鱼鳍。网络封包分析软件的功能是截取网卡进出的网络封包并尽可能显示出最为详细的网络封包资料它能够检测并解析各种协议包括以太网、WIFI、TCP/IP和HTTP协议等等。Wireshark使用LibPCAP、WinPCAP(现在普遍使用的是Npcap)作为驱动程序他们提供了通用的抓包接口直接与网卡进行数据报文交换WinPCAP本身就是抓包分析工具Wireshark通过对他进行整合加工丰富出来的产物所以安装Wireshark的时候会提示我们安装WinPCAP。捕获数据包的原理Wireshark 通过以下原理捕获和分析数据包数据链路层Wireshark 在网络接口卡NIC上使用libpcap库进行数据捕获。它会直接访问网络接口卡的硬件捕获从该接口传输的数据包包括以太网帧、Wi-Fi 数据帧等。BPF 过滤器在捕获数据包时Wireshark 使用 Berkeley Packet Filter (BPF) 来过滤数据包确保只捕获满足特定条件的数据包减小捕获数据的负担。解析协议Wireshark 会对捕获到的数据包进行协议解析识别数据包中的不同协议层如以太网、IP、TCP、HTTP等并将这些信息以易读的格式显示出来。解码和显示Wireshark 将每个数据包的详细信息如头部、有效负载等以分层的方式展示用户可以查看每个协议字段的详细内容。下载地址操作系统是win11安装的wireshark我们下载最新的安装下载地址https://www.wireshark.org/download.html学习网址https://www.chappell-university.com/booksWIKIhttps://wiki.wireshark.org/HomeWireshark 基本使用方式启动 Wireshark启动 Wireshark 后它会显示一个可用网络接口列表如有线网卡、无线网卡等。选择你要捕获数据的网络接口。通常选择与目标流量相关的接口。捕获数据包选择网络接口并点击“开始捕获”按钮绿色的鲨鱼鳍。Wireshark 将实时捕获通过所选网络接口传输的数据包并以列表的形式显示。停止捕获捕获过程中可以点击红色的停止按钮停止捕获。Wireshark 会保存当前捕获的数据包。网卡选择查看本地网卡_打开Wireshark 选择网卡基础操作wireshark在功能界面帮我们提供了三个操作栏_菜单栏用于调试、配置工具栏常用功能的快捷方式过滤栏指定过滤条件过滤数据包过滤器有两种抓包过滤器和展示过滤器界面介绍1号窗口显示所有进出数据包也叫做数据包列表time: 数据包进出的当时时间Source: 源ip地址Destination: 目标ip地址Protocol协议length数据包长度info 数据包的一个简要描述不能看到具体数据对列可以进行增加、修改、删除、隐藏等操作但是默认的这几列就够用2号窗口数据包详情数据包的各层协议的详细数据1号窗口每点击一个数据包那么2号和3号窗口就显示这个数据包的详情信息。3号窗口数据包对应的16进制表示和ascii类型数据显示随着2号窗口点击不同协议部分3号窗口对应数据部分会高亮显示。Wireshark 捕获过滤器捕获过滤器允许你在捕获数据包时限制捕获的流量类型。Wireshark 使用BPF (Berkeley Packet Filter)语法来设定捕获过滤器。示例捕获特定 IP 地址的数据包**host 192.168.1.1只捕获与 IP 地址192.168.1.1相关的包。捕获特定端口的流量port 80只捕获端口为 80HTTP的流量。src port 443捕获源端口为 443HTTPS的流量。dst port 443捕获目标端口为 443HTTPS的流量。捕获特定协议的数据包icmp只捕获 ICMP 协议的数据包如 Ping 请求。tcp只捕获 TCP 协议的数据包。udp只捕获 UDP 协议的数据包。捕获某个网络范围的流量net 192.168.1.0/24捕获来自192.168.1.0网络段的数据包。组合条件src host 192.168.1.1 and dst port 443捕获源地址是192.168.1.1目标端口为 443 的数据包。Wireshark 显示过滤器捕获的数据包在 Wireshark 中以列表形式显示显示过滤器用于帮助你在捕获的数据中筛选出感兴趣的包。显示过滤器基于过滤语言它提供了更多的灵活性来筛选数据包。显示过滤器语法按协议过滤http过滤出 HTTP 协议的数据包。tcp过滤出 TCP 协议的数据包。udp过滤出 UDP 协议的数据包。按 IP 地址过滤ip.addr 192.168.1.1显示所有源或目标地址为192.168.1.1的数据包。ip.src 192.168.1.1显示源地址为192.168.1.1的数据包。ip.dst 192.168.1.1显示目标地址为192.168.1.1的数据包。按端口过滤tcp.port 80显示所有与端口 80HTTP相关的 TCP 数据包。udp.port 53显示所有与端口 53DNS相关的 UDP 数据包。按协议字段过滤tcp.flags.syn 1过滤出所有 TCP 的 SYN 包用于建立连接的握手。http.request.method GET过滤出所有 HTTP GET 请求。组合过滤器ip.src 192.168.1.1 and tcp.port 443显示源地址为192.168.1.1端口为 443 的 TCP 数据包。http and ip.addr 192.168.1.1显示协议为 HTTP 且 IP 地址为192.168.1.1的数据包。组合过滤器对源地址及目的地址过滤 ip.src ip地址 ip.dst ip地址对源地址或者目的地址过滤 ip.addr ip地址端口过滤 对源端口及目的端口过滤 tcp.srcport 80 tcp.dstport 80对源地址或者目的端口过滤 tcp.port 80大于某个端口的过滤 tcp.port 60000协议过滤 协议过滤 直接在filter框中输入协议名如过滤HTTP协议则httphttp协议相关过滤 过滤出请求地址中包含“user”的请求 http.request.uri contains User 过滤域名 http.host www.baidu.com模糊过滤域名 http.host contains baidu过滤请求的content_type类型 http.content_type text/html过滤http响应状态码 http.response.code 200过滤含有指定cookie的http数据包 http.cookie contains userid捕获模式混杂模式Wireshark 的混杂模式 (Promiscuous Mode)是一种网络接口工作模式在这种模式下网卡不仅接收发给自己的数据包还会接收网络上其他设备发送的所有数据包。默认情况下网卡只会接收发往自身地址的数据包而在混杂模式下网卡会接收通过它所在网络的所有数据包不论这些数据包的目的地是否是网卡本身普通模式网卡只接收发送给本机的包包括广播包传递给上层程序其它包一律丢弃。开启混杂模式菜单栏捕获–选项追踪流Wireshark 的追踪流Follow Stream功能是一个强大的工具用于将分散在网络中的数据包按特定协议流如 TCP、HTTP、TLS 等重组还原完整的通信会话内容。1. 如何启动追踪流选择目标数据包在数据包列表中找到属于某个会话的数据包如 HTTP 请求、TCP 握手包。右键菜单右键点击该数据包选择追踪流Follow Stream→ 选择协议类型如 TCP、HTTP、TLS。查看流内容弹出一个新窗口显示该流的完整通信内容如 HTTP 请求和响应、TCP 传输的原始数据。2. 流窗口界面解析原始数据以 ASCII/十六进制格式显示通信内容如 HTTP 文本、加密的 TLS 数据。方向标识用不同颜色区分客户端与服务端的通信如红色表示客户端→服务端蓝色表示反向。过滤选项仅显示文本勾选后隐藏十六进制数据方便阅读协议内容如 HTTP 报文。导出流将整个会话保存为原始文件如导出 HTTP 传输的图片或文件。3. 支持的协议类型TCP 流重组基于 TCP 的协议如 HTTP、FTP、SMTP。UDP 流追踪无连接的 UDP 流如 DNS、QUIC。TLS 流若密钥已配置可解密 TLS 流量需导入 SSL/TLS 会话密钥。适用场景1. 排查应用层协议问题HTTP 请求分析查看完整的 HTTP 请求头和响应体定位接口错误或超时。文件传输问题检查 FTP 或 SMB 协议的文件传输是否完整。API 调试分析 RESTful API 或 SOAP 请求的交互内容。2. 安全分析敏感信息泄露检查 HTTP 明文传输的密码、Cookie。恶意流量检测分析可疑 TCP 连接中的指令如 C2 服务器通信。3. 网络性能优化TCP 重传分析通过流内容观察是否有重复的序列号定位丢包问题。连接中断排查检查 TCP 流的 FIN/RST 标记确认连接是否正常关闭。常见协议包: ARP协议 ICMP协议 TCP协议 UDP协议 DNS协议 HTTP协议实际案例分析分析 HTTP 登录过程捕获流量在用户登录网站时启动 Wireshark 捕获。过滤 HTTP 请求在显示过滤器中输入http contains login找到登录请求的数据包。追踪 TCP 流右键该数据包 →追踪流 → TCP 流。查看流内容确认是否明文传输用户名和密码如usernameadminpassword123456。导出敏感数据若发现明文密码可导出流内容作为安全审计证据。诊断 TCP 连接超时捕获问题时段流量当用户遇到网页加载缓慢时捕获数据包。筛选 TCP 流在数据包列表中找到目标 IP 的 TCP 握手包SYN 包。右键 →追踪流 → TCP 流。分析流内容观察是否有重复的序列号TCP 重传表明网络丢包。检查窗口大小Window Size是否过小导致传输效率低。解密 HTTPS 流量TLS 流配置 TLS 密钥在 Wireshark 的编辑 → 首选项 → Protocols → TLS中导入服务器的私钥。捕获 HTTPS 流量访问一个 HTTPS 网站如https://example.com。追踪 TLS 流右键任意 TLS 数据包 →追踪流 → TLS 流。若密钥正确可看到解密后的 HTTP 明文内容如 HTML 页面。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料给那些想学习 网络安全的小伙伴们一点帮助对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。因篇幅有限仅展示部分资料朋友们如果有需要全套《网络安全入门进阶学习资源包》请看下方扫描即可前往获取