wireshark功能介紹
1.抓包嗅探協議分析
2.安全專家必備的技能
3.抓包引擎
Libpcap9----linux
Winpcap10-----windows
4.解碼能力
wireshark基本使用方法
1.啟動軟件
2.選擇抓包網卡
3.選擇混雜模式
4.實施抓包
5.保存和分析捕獲文件
6.首選項(可以定制布局,列表,字體等等功能)
Wireshark篩選器
- 過濾掉干擾的數據包
- 抓包篩選器
- 顯示篩選器
可以在上圖進行一系列的過濾
wireshark常見協議包
- 數據包的分層結構:
- ARP(地址解析協議,將IP地址解析成mac地址)
- ICMP(ping工具的協議)
- TCP---三次握手
- UDP
- DNS
- Http
- Ftp
TCP:
數據流
Http
Smtp
Pop3
Ssl
Wireshark-信息統計
- 節點數
- 協議分布
- 包大小分布
- 會話連接
- 解碼方式
- 專家系統
專家系統可以為我們分析當前系統存在的問題
第一個查看文件屬性
點擊統計---斷點,可以查看所有的IP地址,mac地址情況
查看協議的分級
解碼(軟件會以端口定位協議,例如80端口程序固定認為這個協議就是http,但是80端口可能是ftp或者其他協議。)
實踐
Wireshark抓包對比nc,ncat加密與不加密的流量
1.首先在一臺kali的機器偵聽端口,將自己bash映射出去
2.在另一臺kali設備上開啟wireshark抓包,然后通過nc連接
通過抓包,命令全部都是以明文顯示
使用ncat加密傳輸
報文為加密得
企業抓包部署方案:
- Sniffer
- Cace / riverbed
- Cascad pilo
