书: https://pan.baidu.com/s/1LWWovU7IScpiddLrDhjl1w?pwd=pc5n
笔记如下:
- Wireshark基础界面:主窗口分为数据包列表(Packet List)、数据包详情(Packet Details)、原始数据(Packet Bytes)三个面板。
- 抓包过滤器(Capture Filter):语法基于BPF,如
host 192.168.1.1、tcp port 80,在抓包前过滤流量。 - 显示过滤器(Display Filter):语法更灵活,如
http.request.method == "GET"、ip.src == 192.168.1.1 && tcp.flags.syn == 1。 - 常用协议分析:
- HTTP:过滤
http,查看请求方法、URI、状态码。 - DNS:过滤
dns,分析查询/响应记录。 - TCP:关注三次握手(SYN/SYN-ACK/ACK)、流量控制(窗口大小)、重传(Retransmission)。
- TCP流跟踪:右键数据包 → Follow → TCP Stream,重组会话内容(如HTTP请求全文)。
- IO图表(IO Graph):统计 → IO图表,可视化流量吞吐量、延迟等趋势。
- 专家信息(Expert Info):分析 → Expert Info,提示错误(如TCP重传、校验和错误)。
- 数据包着色规则:视图 → 着色规则,自定义颜色高亮特定流量(如红色标出错误包)。
- 端点统计(Endpoints):统计 → Endpoints,查看IP/MAC地址的收发流量统计。
- 会话统计(Conversations):统计 → Conversations,分析主机间的通信流量比例。
- 协议分级统计(Protocol Hierarchy):统计 → 协议分级,显示各协议流量占比。
- 解密HTTPS流量:导入服务器私钥(编辑 → 首选项 → Protocols → TLS),解密TLS加密数据。
- 抓包技巧:
- 限制抓包大小(捕获 → 选项 → 限制每个包)。
- 使用环形缓冲区(捕获 → 选项 → 多文件)避免磁盘占满。
- ARP分析:过滤
arp,检测ARP欺骗(如重复IP对应不同MAC)。 - ICMP诊断:过滤
icmp,分析ping请求/响应、Traceroute路径。 - VoIP呼叫分析:电话 → VoIP呼叫,重组RTP流并播放音频。
- 数据包导出:右键 → 导出特定分组,可导出为JSON、CSV或原始二进制数据。
- 自定义列视图:首选项 → 外观 → 列,添加如
http.user_agent等自定义列。 - 命令行工具
tshark:终端中使用tshark -i eth0 -f "port 80" -w output.pcap实现高效抓包。 - 异常流量检测:
- 检测DDoS(大量SYN包无响应)。
- 识别扫描行为(如
tcp.flags.syn==1 && tcp.flags.ack==0过滤端口扫描)。