一、工具簡介
??Wireshark(前稱Ethereal)是一個網路封包分析軟體,網路封包分析軟體的功能是截取網路封包,并盡可能顯示出最為詳細的網路封包資料,Wireshark使用WinPCAP作為介面,直接與網卡進行資料報文交換,Wireshark是世界上最重要和廣泛使用的網路協議分析器,它讓您可以在微觀層面上看到網路上發生的事情,Wireshark具有豐富的功能集,其中包括以下內容:
- 深入檢查數百個協議,并不斷添加更多協議
- 實時捕獲和離線分析
- 標準三窗格資料包瀏覽器
- 多平臺:在 Windows、Linux、macOS、Solaris、FreeBSD、NetBSD 和許多其他平臺上運行
- 可以通過 GUI 或通過 TTY 模式的 TShark 實用程式瀏覽捕獲的網路資料
- 業內最強大的顯示過濾器
- 豐富的VoIP分析
- 讀取/寫入許多不同的捕獲檔案格式:tcpdump (libpcap)、Pcap NG、Catapult DCT2000、Cisco Secure IDS iplog、Microsoft Network Monitor、Network General Sniffer?(壓縮和未壓縮)、Sniffer? Pro 和 NetXray?、Network Instruments Observer , NetScreen snoop, Novell LANalyzer, RADCOM WAN/LAN Analyzer, Shomiti/Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets EtherPeek/TokenPeek/AiroPeek 等使用 gzip 壓縮的捕獲檔案可以即時解壓縮
- 可以從以太網、IEEE 802.11、PPP/HDLC、ATM、藍牙、USB、令牌環、幀中繼、FDDI 等(取決于您的平臺)讀取實時資料
- 對許多協議的解密支持,包括 IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP 和 WPA/WPA2
- 可將著色規則應用于資料包串列,以進行快速、直觀的分析
- 輸出可以匯出為 XML、PostScript?、CSV 或純文本
二、安裝步驟
1、官網下載軟體包
??官網下載最新穩定版的軟體包,根據系統環境選擇對應的版本,博文發布時最新穩定版為3.4.9,wireshark下載地址,
2、雙機exe安裝程式開始安裝
??雙機exe程式后開始安裝,安裝步驟說明僅針對重要步驟或者選項步驟進行說明,安裝程序中如果是未截圖說明的安裝安裝提示點擊即可,
3、選擇安裝組件
4、設定安裝后的啟動快捷方式
5、配置安裝位置
6、選擇安裝npcap網路抓包工具
7、選擇安裝USB流量抓包工具
8、npcap安裝選項選擇
9、安裝完成
安裝完成后需要重啟系統,
三、使用說明
1、選擇待抓包的網卡
2、啟停抓包功能
3、過濾指定的包
在捕獲過濾器欄內輸入過濾規則,更多的過濾規則使用說明見抓包工具之wireshark常用過濾運算式
4、查看資料包
四、wireshark解密https流量
方法一、匯入網站服務器私鑰
??此方面配置簡單,因為需要網站私鑰,僅適用于分析自己的網站流量,
方法二、通過瀏覽器的 SSL 日志功能
??目前該方案只支持Chrome和Firefox瀏覽器,通過設定SSLKEYLOGFILE環境變數,可以指定瀏覽器在訪問SSL/TLS網站時將對應的密鑰保存到本地檔案中,有了這個日志檔案之后wireshake就可以將報文進行解密了,
- 設定系統環境變數
- wireshark下設定指定TLS key檔案
- 抓取https包測驗
測驗結果為啟動抓包后就卡死,軟體為未回應狀態,博主暫未找到原因,有知道的大神請還望不吝賜教,
如果需要抓包https的同學,可以參照博文抓包工具之Fiddler的安裝和使用,可以抓取https流量包,使用的是中間代理的模式,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/327955.html
標籤:其他