Wireshark入门指南
大家好,我是John Strand。在本视频中,我们将学习如何使用Wireshark。
Wireshark与TCPDump非常相似,实际上很多人更喜欢使用Wireshark。但我认为它们是两个完全不同的工具。TCPDump非常适合创建脚本和在系统上进行大规模数据包捕获,而Wireshark则更适合通过完整的GUI界面进行系统分析。
开始使用Wireshark
我们再次使用Security Onion,因为它对网络取证非常有用。感谢Doug Burks和他的团队。
- 进入应用程序 > 互联网 > 选择Wireshark
- Wireshark会列出系统上的所有接口(类似于TCPDump的-D选项)
- 选择接口时会提示需要root权限,因此我们使用
sudo wireshark命令启动
基本功能演示
- 双击ens33接口即可开始嗅探该接口的流量
- 发送ping到8.8.8.8时,可以在Wireshark中看到ICMP回显请求
- 选择任意数据包可以查看十六进制解码
- 高亮显示特定部分会在中间窗口显示解码内容
- 可以查看MAC地址、有效载荷等信息
高级分析功能
-
打开保存的数据包文件:
- 文件 > 打开 > 选择pcap文件
- 可以分析来自受感染系统的数据包捕获
-
跟踪TCP流:
- 右键数据包 > 跟踪TCP流
- 可以清晰查看两个系统之间的通信内容
- 对于HTTP等明文协议,可以直接查看传输内容
-
统计功能:
- 端点统计:查看所有通信端点
- 会话统计:查看IP地址之间的数据量
- 协议层次统计:分析使用的协议类型
- HTTP会话统计:查看HTTP请求
总结
Wireshark是网络分析和故障排除的强大工具。通过Security Onion发行版可以方便地使用Wireshark,它也支持Mac和Windows平台。本文只是入门介绍,更多高级功能等待您去探索!
提示:想从John Strand那里学习更多技能?可以查看他的课程:SOC核心技能、主动防御与网络欺骗、BHIS和MITRE ATT&CK安全入门、渗透测试入门等。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
