Wireshark是一个网络封包分析软件,使用WinPCAP作为接口,直接与网卡进行数据报文交换。在使用Wireshark之前,我们首先要了解一下Wireshark应用的四个方向:1,网络管理员---检测网络问题;2,网络安全(测试)工程师---检查资讯安全相关问题;3,开发者---为新的通讯协议除错;4,普通用户---学习网络协议的相关知识。
工具/原料
Wireshark软件
方法/步骤
1
启动Wireshark软件,进入软件主页面,点击菜单栏中左上角(如图中圆圈所示)可用网卡列表按钮,打开后弹出如图示小窗口,在小窗口中Packets和Packets/s两项中,有数字变化的网卡即为正在运行的可监控网卡,点击“Start”即可开始监控抓包。
2
在步骤1中打开后的界面中我们需要了解一下各个部分所展示的具体内容。这里主要说明两个内容:封包列表,显示已抓取的封包,可以查看到发送或接收方的MAC/IP地址,TCP/UDP端口号或者协议及封包内容。封包详细信息,可以查看到各个层级的详细信息,帮助我们进行更进一步的数据分析。
3
软件测试工作中,对于新手,在抓包开始前为了避免抓到数据过多,造成混乱,可先关闭其他无关程序,点击“Start”后,再打开想要进行抓包的程序。或者熟练后可以在抓包后使用过滤选项“Filter”,直接输入或选择过滤条件,快速定位到我们需要抓包的数据信息。
5
除此之外,使用Wireshark还可以进行web安全性测试,如抓取用户名密码等信息,在一些没有加密传输的网站进行登录操作(或使用密码口令较弱),用wireshark抓取登录信息后,输入过滤条件如http.request.method=='post'可以查看到使用post方法传输的数据包,其详细信息中可能包括未加密的用户名及密码等个人信息。
注意事项
过滤条件手动输入时注意格式