Wireshark抓包体验

1、嗅探器原理

嗅探技术是网络安全攻防技术中很重要的一种，通过它可以获取网络中的大量信息。与主动扫描相比，嗅探更难以被察觉，能够对网络中的活动进行实时监控。

网络嗅探器实际上就是网络中的窃听器，其用途就是捕获分析网络中的数据包，帮助网络管理员发现入侵、分析网络问题等等，它是能够进行嗅探的软件或硬件设备。通过嗅探得到二进制的数据包后，对这些数据包进行解析和理解，获得协议字段与传输的数据的过程就是网络协议分析。所以说，网络嗅探与网络协议分析联系紧密。

对于攻击者来说，通过网络嗅探，进行协议分析，能够窃取内部机密，搜集信息。而对于管理员来说，网络嗅探可以实现网络流量情况的监听，定位网络故障，并且能够为网络入侵检测提供底层的数据来源。

网络嗅探的关键在于以太网的通信机制和网卡的工作模式。迄今为止，以太网仍然是最普遍的组网方法之一，而以太网的共享特性决定了嗅探能够成功。由于以太网是基于广播方式传送数据，因此网络中所有的数据信号都会被传送到每一个主机节点，这样每一台机器实际上都能接受到数据帧。一个网络接口使用网卡的接收模式有以下几种：

• 广播模式（Broadcast Mode）：该模式下的网卡能够接收网络中所有类型为广播报文的数据帧。
• 组播模式（Multicast Mode）：该模式下的网卡能够接受特定的组播数据。
• 直接模式（Unicast Mode）：该模式下的网卡在工作时只接收目的地址匹配本机MAC地址的数据帧。
• 混杂模式（Promiscuous Mode）：在这种模式下，网卡对数据帧中的目的MAC地址不加任何检查，全部接收。

因此只要将网卡的工作模式设置为“混杂模式”，网卡将会接受所有传递给他的数据包，从而实现嗅探。嗅探得到结果后，再进行网络协议分析，根据网络协议分析的粒度可以分为三种：针对原始数据包进行分析，层次最低、最细粒度；对网络流（会话）进行分析，通过5元组进行流（会话）；以及网络流高层统计。针对网络报文分析的工具，常用的有集成工具WireShark，网络流重组工具Nstreams、Snort，进行高层统计和摘要分析的Netflow、RRDTools等等。

2、Wireshark简介

作为一款高效免费的抓包工具，wireshark可以截取各种网络封包，显示网络封包的详细信息，其最大的优势就是免费、开源以及多平台支持，如今其已是全球最广泛的网络数据包分析软件之一。

Wireshark不可以做什么？

Wireshark只能查看封包，而不能修改封包的内容，或者发送封包。且对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。

3、Wireshark使用

Wireshark安装

前往Wireshark官网进行下载，下载完成后一路next安装即可。

（1）打开wireshark，主界面如下图所示。

（2）利用wireshark开始抓包。选择菜单栏上捕获——>选项，只勾选WLAN的混杂模式，点击开始(也可以直接双击上图的WLAN开始)。

（3）查看抓包情况（此时wireshark正不停地捕获WLAN下传输的数据包）

（4）数据包详细信息

​ 各行信息分别为

• Frame：物理层的数据帧概况
• Ethernet II： 数据链路层以太网帧头部信息
• Internet Protocol Version 4: 网络层IP包头部信息
• Transmission Control Protocol：传输层的数据段头部信息
• Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议

wireshark与对应的OSI七层模型

wireshark捕获到的TCP包中的每个字段内容

（5）wireshark过滤器

直接使用WireShark捕获包将会得到大量的冗余信息，在几千甚至几万条记录中很难找到自己需要的部分，因而，使用过滤器十分重要。使用WireShark的过滤器有两种方法：

第一种是在Capture Filter中按照libpcap过滤器语言设置好过滤条件。此外，我们也可以捕获后过滤。先捕获所有的数据包，然后通过设定显示过滤器，只让Wireshark显示我们想要观察的那些类型的数据包。我们使用WireShark过滤器时，输入规则若是正确的，则过滤器输入框的背景为绿色，否则，背景为红色。

wireshark过滤器表达式的规则：

• 协议过滤

直接在抓包过滤框中直接输入协议名即可。tcp，只显示TCP协议的数据包列表；http，只查看HTTP协议的数据包列表；icmp，只显示ICMP协议的数据包列表

• IP过滤

ip.src == 192.168.1.102，显示源地址为192.168.1.102的数据包

ip.dst == 192.168.1.102，显示目标地址为192.168.1.102的数据包

ip.addr == 192.168.1.102，显示源IP地址或目标IP地址为192.168.1.102的数据包

• 端口过滤

tcp.port == 80，显示tcp协议的源主机或者目的主机端口为80的数据包

tcp.srcport == 80，显示TCP协议的源主机端口为80的数据包

tcp.dstport == 80，显示TCP协议的目的主机端口为80的数据包

• Http模式过滤

http.request.method == GET, 只显示HTTP协议下GET请求的数据包

http.request.method == POST,只显示HTTP协议下POST请求的数据包

• 逻辑运算符

过滤多个条件组合时，使用and/or。比如获取IP地址为192.168.1.104的ICMP数据包表达式为ip.addr == 192.168.1.104 and icmp

4、Wireshark分析TCP三次握手

TCP三次握手

抓取TCP包

启动wireshark，打开浏览器输入www.baidu.com；

终止抓包，在过滤栏输入http以过滤隐藏其他无关数据包；

右键选中，点击追踪流——>TCP流，

可以看到这里截获了三个TCP握手数据包，第四个是HTTP数据包，说明HTTP的确是使用TCP建立连接的。

第一次握手，客户端向服务器发送了一个TCP连接请求，标志位SYN = 1，客户端序号Seq(Sequence number)为x = 0，表示客户端请求建立连接

第二次握手，服务器向客户端发回一个确认包,标志位SYN = 1,ACK = 1。服务器序号seq(y)=0，将确认序号ack(Acknowledgement Number)设置为客户端序号seq(x)加1,即0+1=1。

第三次握手，客户端收到服务器发来的包后检查确认序号是否正确，即第一次发送的序号seq是否加1（X+1= 0+1=1）以及标志位ACK是否为1。若正确，客户端会再向服务器端发送一个数据包，标志位ACK=1，确认序号=Y+1=0+1=1，并且把服务器发来的序号seq加1发送给对方，发送序号seq为X+1= 0+1=1。服务器收到后确认序号值与ACK=1。至此，一次TCP连接建立，可以传送数据了。

5、网络嗅探的防范

网络嗅探对于安全防护一般的网络来说，操作简单但同时威胁巨大，很多攻击者使用嗅探器进行网络入侵的渗透。故防范网络嗅探显得尤为重要，可以采用以下防御措施：

• 安全的拓扑结构。嗅探器只能在当前网络段上进行数据捕获。这就意味着，将网络分段工作进行得越细，嗅探器能够收集的信息就越少。但是，除非是一个ISP（分层服务提供商），或者资源相对不受限制，否则这样的解决方案需要很大的代价。
• 会话加密。传统的网络服务程序，HTTP、FTP、SMTP和Telnet等在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，嗅探器非常容易就可以截获这些信息。使用SSH(secure shell)等协议可以使得信息安全地传输。通过使用SSH，可以把所有传输的数据进行加密，这样"中间服务器"这种攻击方式就不可能实现了，而且也能够防止DNS和IP欺骗。

6、参考资料

[1] Wireshark抓包使用指南

[2] Wireshark使用入门

[3] Wireshark基本介绍和学习TCP三次握手