您的网络安全吗?如何使用Wireshark分析网络流量

Wireshark是全球安全专业人员使用的领先网络协议分析器。它使您能够检测计算机网络中的异常并找到根本原因。在以下各节中,我们将演示如何使用Wireshark。

那么它是怎样工作的?以及您实际上如何使用Wireshark捕获数据包?

Wireshark如何工作?

Wireshark强大的功能集使其成为解决网络问题最佳工具之一。许多人使用Wireshark,包括网络管理员,安全审核员,恶意软件分析师,甚至攻击者。

它使您可以对实时或已存储的网络数据包进行深度检查。当您开始使用Wireshark时,就会被它提供的信息量所吸引。但是,太多的信息常常使跟踪变得困难。

幸运的是,我们可以通过Wireshark的高级过滤功能减轻这种情况。稍后我们将详细讨论它们。工作流程包括捕获网络数据包并过滤出所需的信息。

如何使用Wireshark进行数据包捕获

一旦启动Wireshark,它将显示连接到系统的网络接口。您应该注意到每个接口旁边代表网络通信的曲线。

现在,您需要选择一个特定的接口,然后才能开始捕获数据包。为此,选择接口名称,然后单击蓝色的鱼翅图标。您也可以通过双击接口名称来执行此操作。

Wireshark将开始捕获所选接口的传入和传出数据包。单击红色的暂停图标以停止捕获。您应该看到在此过程中获取的网络数据包列表。

Wireshark将在协议旁边显示每个数据包的源和目标。但是,大多数时候,您会对信息字段的内容感兴趣。

您可以通过单击来检查单个数据包。这样,您可以查看整个数据包数据。

如何在Wireshark中保存捕获的数据包

由于Wireshark捕获了大量流量,因此有时您可能需要保存它们以供以后检查。幸运的是,使用Wireshark保存捕获的数据包非常容易。

要保存数据包,请停止活动会话。然后单击顶部菜单中的文件图标。您也可以使用Ctrl + S来执行此操作。

Wireshark可以以多种格式保存数据包,包括pcapng,pcap和dmp。您还可以将捕获的数据包保存为其他网络分析工具以后可以使用的格式。

如何分析捕获的数据包

您可以通过打开捕获文件来分析先前捕获的数据包。在主窗口中,单击文件>打开,然后选择相关的已保存文件。

您也可以使用Ctrl + O来快速执行此操作。分析完数据包后,转到File> Close退出检查窗口。

如何使用Wireshark过滤器

Wireshark提供了许多强大的过滤功能。过滤器有两种类型:显示过滤器和捕获过滤器。

使用Wireshark显示过滤器

显示过滤器用于查看所有捕获的数据包中的特定数据包。例如,我们可以使用显示过滤器icmp查看所有ICMP数据包。

您可以从大量过滤器中进行选择。此外,您还可以为琐碎的任务定义自定义过滤规则。要添加个性化过滤器,请转到分析>显示过滤器。单击+图标以添加新的过滤器。

使用Wireshark捕获过滤器

捕获过滤器用于指定在Wireshark会话期间捕获哪些数据包。与标准捕获相比,它产生的数据包要少得多。您可以在需要有关某些数据包的特定信息的情况下使用它们。

在主窗口的接口列表上方的字段中输入捕获过滤器。从列表中选择接口名称,然后在上面的字段中输入过滤器名称。

单击蓝色的鱼翅图标开始捕获数据包。以下示例利用arp筛选器仅捕获ARP事务。

使用Wireshark着色规则

Wireshark提供了几种着色规则,这些规则以前称为滤色器。分析大量网络流量时,这是一个很棒的功能。您还可以根据喜好自定义它们。

要显示当前的着色规则,请转到查看>着色规则。在这里,您可以找到安装的默认着色规则。

您可以根据需要修改它们。另外,您还可以通过导入配置文件来使用其他人的着色规则。

下载包含自定义规则的文件,然后通过选择“视图”>“着色规则”>“导入”将其导入。您可以类似地导出规则。

Wireshark在行动

到目前为止,我们已经讨论了Wireshark的一些核心功能。让我们执行一些实际操作以演示它们如何集成。

我们为此演示创建了一个基本的Go服务器。它为每个请求返回一条简单的文本消息。服务器运行后,我们将发出一些HTTP请求并捕获实时流量。请注意,我们正在本地主机上运行服务器。

首先,我们通过双击Loopback(localhost)接口来启动数据包捕获。下一步是启动我们的本地服务器并发送GET请求。我们正在使用curl来做到这一点。

Wireshark将在此对话期间捕获所有传入和传出的数据包。我们要查看服务器发送的数据,因此我们将使用http.response显示过滤器查看响应数据包。

现在,Wireshark将隐藏所有其他捕获的数据包并仅显示响应数据包。如果仔细查看数据包的详细信息,您会注意到我们服务器发送的纯文本数据。

有用的Wireshark命令

您还可以使用各种Wireshark命令从Linux终端控制软件。以下是一些基本的Wireshark命令:

  • wirehark以图形方式启动Wireshark。
  • wirehark -h显示可用的命令行选项。
  • wirehark -i INTERFACE选择INTERFACE作为捕获接口。

Tshark是Wireshark的命令行替代产品。它支持所有基本功能,并且非常高效。

使用Wireshark分析网络安全

Wireshark的丰富功能集和高级过滤规则使数据包分析高效而直接。您可以使用它来查找有关您的网络的各种信息。试用其最基本的功能,以了解如何使用Wireshark进行数据包分析。

可以在运行Windows,macOS和Linux的设备上下载Wireshark