wireshark数据包分析详细解析
最新回答
执手踏青
2022-06-23 21:34:02
一、Wireshark基础操作与捕获设置
1. 启动与界面:打开软件后,主界面分为捕获菜单(选择网卡)、显示过滤器(筛选数据包)、数据包列表(显示捕获的帧)、数据包详情(解析帧结构)、字节视图(原始数据)。
2. 捕获设置:
• 选择网卡:需明确目标网络接口(如以太网、Wi-Fi),若需捕获无线流量,需开启网卡混杂模式(部分网卡需驱动支持)。
• 过滤规则:捕获前可设置捕获过滤器(如`tcp port 80`只抓HTTP流量),减少数据量,语法基于libpcap格式。
3. 停止与保存:捕获完成后点击停止,可将数据保存为`.pcap`或`.pcapng`格式,方便后续分析。
二、数据包解析核心层次
Wireshark按OSI七层模型解析数据包,关键层次解析如下:
1. 数据链路层(Layer 2):
• 显示以太网帧(源/目的MAC地址、类型字段),如ARP包会显示`ARP Request`或`ARP Reply`。
• 若为VLAN流量,会解析802.1Q标签(VLAN ID、优先级)。
2. 网络层(Layer 3):
• 解析IP协议(IPv4/IPv6),显示源/目的IP地址、协议类型(TCP/UDP/ICMP)、TTL值(如Windows默认TTL=128,Linux=64)。
• 若存在IP分片,会标记`Fragmented IP`并显示分片偏移量。
3. 传输层(Layer 4):
• TCP协议:解析三次握手(SYN、SYN-ACK、ACK)、四次挥手(FIN、ACK等),显示源/目的端口、窗口大小、序列号/确认号,可识别`RST`(连接重置)、`ACK`(确认)等标志位。
• UDP协议:仅显示端口与数据长度,无连接确认,常用于实时传输(如DNS、DHCP)。
4. 应用层(Layer 7):
• 解析常见协议:HTTP(请求方法GET/POST、状态码200/404、Cookie)、HTTPS(需导入SSL密钥才显示明文)、DNS(查询类型A/AAAA、响应IP)、DHCP(Offer、ACK包中的IP分配)。
三、关键分析技巧
1. 显示过滤器使用:
• 语法示例:`tcp.flags.syn == 1 and tcp.flags.ack == 0`(筛选SYN包)、`http.response.code == 404`(筛选404错误)、`dns.qtype == A`(筛选A记录查询)。
• 技巧:可通过右键数据包→作为过滤器应用快速生成规则。
2. 统计与图表:
• 点击统计菜单,可生成协议分布(如TCP占比70%)、会话列表(按IP/端口分组的流量统计)、IO图表(时间轴上的流量变化,排查峰值)。
3. 常见故障排查场景:
• 网络延迟:查看TCP往返时间(RTT),若过高需检查中间设备;
• 连接失败:若只有SYN包无SYN-ACK,可能是目标端口未开放或防火墙拦截;
• 丢包分析:查看TCP重传包(`tcp.analysis.retransmission`),若重传率>5%需排查链路质量。
4. 安全审计应用:
• 识别异常流量:如大量`ICMP Echo Request`(Ping扫描)、`SSH`端口爆破(多次失败认证);
• 解析恶意流量:通过Follow→TCP Stream查看HTTP请求内容,识别SQL注入(如`UNION SELECT`)或XSS payload。
四、进阶功能
1. 着色规则:可自定义不同协议的颜色(如TCP为红色、UDP为蓝色),快速识别流量类型。
2. 专家信息:点击分析→专家信息,查看Wireshark自动检测的异常(如丢包、重复ACK)。
3. Lua脚本:通过编写脚本扩展功能(如解析自定义协议)。
总结:Wireshark通过分层解析与灵活的过滤、统计功能,可覆盖从基础网络通信到复杂安全审计的全场景,掌握其操作需结合OSI模型与实际案例练习。
您可能感兴趣问答
热门标签
