关键词:
TcpIP协议,HTTP,DNS 实战:基于wireshark与BurpSuite抓包分析使用 wireshark 前的基本配置
磨刀不误砍柴工。为了高效率的利用 wireshark 来帮助我们分析,学习网络协议,以及故障排除,需要对其进行一些使用前配置,大致内容如下:
1。将数据包摘要列表(packet list)中的“time”列的精度调整为 1 毫秒。
默认情况下,wireshark 的时间显示精度为 1 纳秒,但是在现实环境中通常用不到如此高的精度,一般用于评估站点响应速度,用户体验的性能指标,精确到毫秒级别就足够了,而且纳秒会多显示小数点后 6 位数字,造成数据包摘要列表中的显示空间的浪费。具体设置方法如下图:
2。根据应用场景选择时间列的显示格式。默认情况下,以抓取到的第一个数据包的时间为参考点,后续的数据包的抓取时间都是相对开始抓包(第一个)的时点计算的。但是在某些场景中,需要将显示格式调整为:与上一个抓取到的数据包的时间差,也就是相邻2个数据包的抓包时间间隔。
我们知道,某些网络应用,如即时通信,会议软件的视频,音频流量等,对于数据包的连续发送或接收时间间隔,非常敏感,如果相邻2个或多个包的间隔时间太长,就会造成应用的画面和声音延迟,一个更明显的例子是网络游戏的“卡”现象,由于收发包的间隔过长导致声音与画面的不一致和连续性问题。(通常与两端通信链路的负载和其中路由器的负载过高,导致丢包而引发的 TCP 分段重传有关)
这个时候,显示时间间隔就非常有用,可以对当前网络的稳定性,流畅性进行快速的检视,具体配置方法如下图:
3。修改并导出 wireshark 的默认数据包着色识别规则。通过数据包着色功能,用户可以迅速定位感兴趣的数据包分析,但是默认的着色规则太复杂,导致启用色彩识别时,一个包列表中显示“五颜六色”的信息,分散了我们的注意力,通常情况,我们仅对一种或两种类型的数据包感兴趣,或者进一步讲,我们每次只需要标识一种或两种类型的数据包颜色,这就需要修改其默认着色规则,具体配置方法参考下图:
依序选择菜单栏的“View”,“Coloring Rules”,打开配色规则对话框:
4。自定义数据包列表的显示列。默认的显示列从左至右依序为:数据帧编号,抓取时间,源地址,目标地址,协议,数据包(帧)长度,摘要信息。
在实战场景中,这些列提供的信息可能不够,例如,我想要快速浏览每个包的 IP 分组头部的生存期(TTL)字段值,而且不用在每个包的详细结构窗口(packet details)中查找该字段,以便节省时间,可以按照下图操作:
依序选择菜单栏的“Edit”,“Preferences”,打开首选项对话框:
5。根据实际需求配置 wireshark 的名称解析功能。
依序选择菜单栏的“Edit”,“Preferences”,切换到首选项对话框中的“Name Resolution”标签,参考下图解说进行配置:
通常只需要保持默认的不解析链路层,网络层地址以及传输层端口号即可,但是有些时候就需要开启相应的解析功能,还是那句老话:具体情况具体分析。上图中没有解释到的名称解析剩余的配置选项部分,各位可以自行研究。
6。隐藏 wireshark 主用户界面的数据包字节窗口(Packet Btyes)
默认的用户界面布局中,窗口被分隔成为3部分:数据包列表,数据包结构(详情),以及数据包字节,后者以16进制的字节显示数据包内容,通常是我们不必关心的,除非你有某种特殊的需求要修改原始的数据包;否则可以隐藏字节窗口,释放额外的显示空间。依序选择“View”,取消勾选“Packet Bytes”即可。
7。wireshark 中与 IPv4 协议相关的配置参数
配置各种协议的参数,实际上就是改变 wireshark 对该协议数据包的“捕获”与“呈现”方式。要配置 IPv4 协议,依序选择菜单栏的
“Edit”,“Preferences”,展开首选项对话框中的“Protocols”标签,定位到“IPv4”子标签。参考下图解说进行配置:
下面来比较一下,对于同一个数据包的 IP 分组头部的 ToS 字段,wireshark 用旧的服务质量标准(服务类型)与用新的服务质量标准(即差异化/区分 服务)解析之间的区别,可以看出,两者仅是对这个占一字节的头部字段中,每个比特位的解释不同而已:
8。wireshark 中与 TCP 协议相关的配置参数
要配置 TCP 协议,依序选择菜单栏的
“Edit”,“Preferences”,展开首选项对话框中的“Protocols”标签,定位到“TCP”子标签。参考下图解说进行配置:
(由于 TCP 协议规范相当复杂,而且各种操作系统有其不同的实现,下面的每个选项不一定在所有系统上都会产生描述中预期的结果,并且这里仅对一些重要,常见的 TCP 协议特性相关的选项配置进行说明,剩余的各位可以自行研究,理想情况下,在阅读完《TCP/IP详解》丛书后,应该能了解下图中绝大多数的配置参数的含义) 参考技术A Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报
wireshark是针对经过网卡的数据包进行监听,而burpsuite是用于web应用分析的工具。wireshark的使用就是直接选择网卡就可以抓包;而burpsuite则需要先在浏览器上设置代理,然后再启用它才能够捕捉到客户端发给web服务器的报文,而且这些报文会直接以明文的形式显示。总的来说,burpsuite比wireshark更有侧重也更加细节,是专门用于web分析的工具。
burp套件和wireshark有啥区别?优点和缺点
】burp套件和wireshark有啥区别?优点和缺点【英文标题】:WhatistheDifferencebetweenburpsuiteandwireshark?ProsandConsburp套件和wireshark有什么区别?优点和缺点【发布时间】:2019-05-2102:24:02【问题描述】:我看到很多人都在谈论这两个工具Burps... 查看详情
wireshark怎么设置才能像fiddler一样可以抓到https包
参考技术A不用设置,wireshark可以抓到所选网卡经过的所有的报文,理所当然包括https,如果你想更简便的分析报文,可以试试基于进程抓包工具QPA本回答被提问者和网友采纳 查看详情
iPhone 和 WireShark [关闭]
】iPhone和WireShark[关闭]【英文标题】:iPhoneandWireShark[closed]【发布时间】:2010-12-0813:51:24【问题描述】:如何在我的网络上从我的iPhone嗅探数据包?有人可以给我一些指示吗?我试过谷歌搜索,但没有教如何嗅探iPhone数据包、我... 查看详情
怎样用wireshark得到cookie?
RT,还有为什么说未加密的wifi不安全?难道加密的wifi就不能钓鱼?或者哪位大神指导一下啊就算是wpa2加密的,只要别人能连上网络结果都是一样的,所以有人为了钓鱼就故意设wep或wpa2弱密码。所谓加密只是客户端和ap之间传输加... 查看详情
使用wireshark完成了多少次TCP握手和拆除?
】使用wireshark完成了多少次TCP握手和拆除?【英文标题】:HowmanyTCPhandshakingandteardownhavebeenaccomplishedusingwireshark?【发布时间】:2021-05-0812:08:21【问题描述】:我运行了一段时间的wireshark并打开了几个网页,现在我的课堂作业要求... 查看详情
可以用python编程来分析wireshark抓到的包吗
外部程序调用wireshark接口可以吗直接通过python编程来抓包可以吗!需要在python安装pypcap吗谢谢参考技术A直接截包当然可以。不过你是应用层截包的。用pypcap会好很多的,毕竟他是基于驱动层的,很多地方比你做的好。追问那就... 查看详情
wireshark在linux上可以运行吗
一、安装以root用户运行:yuminstallwireshark二、运行在终端中键入命令:#wiresharkbash:wireshark:commandnotfound#whereiswiresharkwireshark:/usr/lib/wireshark/usr/share/wireshark#cd/usr/lib/wireshark#lsplugins#cd/usr/share/wireshark;lsAUTHORS-SHORTdtdsmergecap.htmltshark.htmlcapin... 查看详情
树莓派wireshark(tshark)抓包实验
参考技术A 本文在树莓派4b上测试wireshark网络抓包。安装图形界面wireshark,sudoapt-getinstallwireshark。安装完成后后,在图形界面没有显示接口,比如笔者的waln0就没有显示,在命令行输入dumpcap-h查看具体的命令格式,dump-iwlan... 查看详情
转:wireshark的使用说明
...sp;来调试HTTP,HTTPS。这篇文章介绍另一个好用的抓包工具wireshark, 用来获取网络数据封包,包括http,TCP,UDP,等网络协议包。 记得大学的时候就学习过TCP的三次握手协议,那时候只是知道,虽然在书上看过很多TCP和UDP的资料... 查看详情
2023版超详细wireshark安装保姆级教程,小学生都能看懂,你不看看吗
深度使用wireshark的工程师,应该并不会随便找个wireshark版本就安装上去,安装wireshark也要有一定的逼格,哈哈,下面咱们展开介绍一下。文章目录当然是到wireshark官网去获取wireshark根据需要下载相应版本下载界面releasen... 查看详情
Spring注解@Controller和@Service一样吗?
】Spring注解@Controller和@Service一样吗?【英文标题】:IsSpringannotation@Controllersameas@Service?【发布时间】:2013-04-1010:13:10【问题描述】:Spring注解@Controller和@Service一样吗?我知道@Controller可用于URL映射和调用业务逻辑。而@Service用于... 查看详情
请问*.pcap文件都是啥软件产生的啊?wireshark我知道保存的文件格式是.pcap文件,请问还有别的软件吗?
...使用libpcap库或者winpcap库的软件都可以生成这个格式的。wireshark使用了libpcap或者winpcap作为底层的。其他工具如果也使用这两个库,也可以生成这样的格式。 查看详情
网络知识===wireshark抓包,三次握手分析
...立连接:网上的三次握手讲解的太复杂抽象,尝试着使用wireshark抓包分析,得到如下数据: 整个过程分析如下: step1client给server发送:【SYN】Seq=0(这个数据并不是所有人都为0) step2server给client发送:【SYN&ACK】 S... 查看详情
UINavigationController 和 UITabBarController 关系和 UIViewController 一样吗?
】UINavigationController和UITabBarController关系和UIViewController一样吗?【英文标题】:UINavigationControllerandUITabBarControllerrelationsissameasUIViewController?【发布时间】:2014-06-2007:47:25【问题描述】:我刚开始学习xCode,我正在使用xCode5.1我已经... 查看详情
信捷xd和xc编程一样吗
参考技术A不一样。一般XC的不带扩展模块,XD的扩展可以扩展到10个。 查看详情
优先队列和单调队列一样吗?
不一样,优先队列:目的是找队列中优先级追高的元素单调队列:目的是是队列中的元素保持单调参考技术A不一样,但是自己可以这样写优先队列,函数的优先队列应该是运用堆加优化实现的! 查看详情
tokenize($s) 和 tokenize($s, ' ') 一样吗?
】tokenize($s)和tokenize($s,\\\'\\\')一样吗?【英文标题】:Istokenize($s)thesameastokenize($s,\'\')?tokenize($s)和tokenize($s,\'\')一样吗?【发布时间】:2019-02-2205:09:24【问题描述】:https://www.w3.org/TR/xpath-functions/#func-tokenize解释了tokenize的单参数 查看详情
jpanel和container他们的功能和意思一样吗
JPanel和Container他们的功能和意思一样吗应该都是容器的意思吧参考技术A对,不一样,都是容器JPanel:JPanel是一般轻量级容器,可以向JPanel容器中放入JPanel,JTextfiled,JButton等;Container:基本可以包容awt的所有组件,包括JPanel本回答... 查看详情