译者: 山有木
原文:www.custompcreview.com/articles/tutorial-wireshark-packet-sniffer-guide-analyze-network-traffic/38446/
发布日期:2017.02.22
翻译日期:2017.03.04
如何使用wireshark网络包嗅探器来分析网络流量
作者:SAM CHEN
2017年2月22日
对于网络管理员和网络安全专业人士,去学习使用Wireshark(以前的Ethereal)是非常重要的技能之一,Wireshark是在Windows,Mac和Linux环境下安装的一个免费和开源的网络分析器或者叫做数据包嗅探器软件,允许网络管理员快速和轻松地实时捕获帧,数据包,段/数据报等等,以监视进出其网络的流量。
我们今天的教程将指导您使用Wireshark捕获数据包,过滤数据包,并了解所提供的数据的一些基础知识。我们还想利用这个机会告诉我们的读者,为什么即使只是在简单的浏览网页的情况下使用加密也是辣么重要。
注意:在开始之前,确认您已经被允许分析您打算运行Wireshark的网络。 Wireshark是一个非常强大的工具,因为它捕获任何数据进出某个网络接口,如果你在工作场所,学校,企业等地方运行该工具,它可能会触发网络管理员的警报。
说了这么多,现在让我们开始吧!
Wireshark教程
下载并安装Wireshark
Wireshark可以在Wireshark网站上下载。只需选择您要下载的版本即可。如前所述,Wireshark可用于Windows,Mac和Linux。.
下载完成后,启动Wireshark安装程序,将指导您完成Wireshark安装过程。
启动Wireshark和开始捕获数据包
Wireshark安装完成,开始启动程序。启动完成后,选择要捕获的网络接口,并点击应用程序左上角的菜单栏下面的sharkfin开始捕获数据包。
探索Wireshark接口
按下捕获按钮后,Wireshark将开始捕获数据包,并显示所有之前选择的接口进出的实时流量。 Wireshark将为您提供关于每个数据包通过网络的大量信息。
对于那些刚刚开始学习网络的人来说,这是一个了解OSI参考模型的好机会。由于Wireshark捕获在OSI参考模型的第2层,我们可以看到从帧,包,段/数据报和以上的一切。
默认情况下,Wireshark基于一组颜色规则对不同的数据包进行颜色编码。例如,在这里我们可以看到HTTP协议流量是绿色的,而ICMP(Ping)流量是粉红色的。
过滤数据
虽然您的计算机在任何给定时刻看起来都不太有效,但是数百甚至数千个数据包实际上可能正在通过网络。这包括从HTTP流量到DNS流量等等,甚至更多。因此,使用过滤器过滤掉我们不需要的信息并搜索我们想要的信息很重要。
假设我们想要找到使用HTTP协议发送或接收的所有数据包。只需在顶部的过滤器框中键入HTTP,并所有捕获的HTTP数据包就都被列了出来。当然,还有超多个不同的过滤器,可以应用于捕获数据包数据,并准确找到你要找的。完整的列表可以在Wireshark的文档中找到。
当然,也可以通过单击捕获选项卡并单击捕获过滤器来设置捕获过滤器。这可以防止抓到你不想抓的数据包。
分析数据包
一旦你找到了你要找的一个数据包之后,你可以跟踪这个数据包的流入和流出,找到该数据包的网络接口。在这里,我们可以看到一些未加密的HTTP流量进出网络上的端口80。让我们跟着它。
我们跟着HTTP的流,这时我们可以在进出接口看到HTTP数据流中的所有内容的解码版本。这将立即告诉我们这个特定系统访问的网站类型以及其他潜在的私人信息。
例如,如果您使用的是公共WiFi,或者处于未知网络中,其中有人正在嗅探数据包,并且密码通过纯文本HTTP传输,则他们可以轻松地解码您的密码。同样,如果您通过标准FTP发送文件(如银行记录,健康信息或其他敏感信息),也可以轻松捕获。这就是为什么我们在CPCR和CPCR论坛上运行SSL。
对捕获的数据的其他分析还有很多,比如可以显示通过网络有多少类型的数据。这将允许网络管理员更好地了解网络以实现像QoS规则和其他内容,以提高网络效率。
结论
总的来说,这对于刚刚开始使用Wireshark的数据包嗅探的人只是一个快速和肮脏的教程,突出了一些功能,以及为什么每个人尽可能都使用加密通信。
当然,还有更多的东西需要学习。 对于那些刚刚进入网络领域的人来说 Wireshark 101: Essential Skills for Network Analysis 是一本可以提供大量的经验来扎实你使用wireshark的书,而且在计算机网络方面也会起到很大的帮助。
[课程]FART 脱壳王!加量不加价!FART作者讲授!