流量分析-Wireshark - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

基础安全

流量分析-Wireshark

2023-04-13 14:24:04

所属地湖南省

本文由创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

简介

链接：

https://2.na.dl.wireshark.org/win64/Wireshark-win64-4.0.4.exe

Wireshark 是一种开源、跨平台的网络数据包分析工具，能够嗅探和调查实时流量并检查数据包捕获 (PCAP)。它通常被用作最好的数据包分析工具之一。

图形化界面介绍

工具栏	主工具栏包含多个用于数据包嗅探和处理的菜单和快捷方式，包括过滤、排序、汇总、导出和合并。
显示过滤栏	主要查询和过滤部分。
最近的文件	最近调查的文件列表。您可以通过双击调用列出的文件。
捕获过滤器和接口	捕获过滤器和可用的嗅探点（网络接口）。网络接口是计算机和网络之间的连接点。软件连接（例如 lo、eth0 和 ens33）启用网络硬件。
状态栏	工具状态、配置文件和数字数据包信息。

数据包列表面板	每个数据包的摘要（源地址和目标地址、协议和数据包信息）。您可以单击列表以选择一个数据包以进行进一步调查。选择数据包后，详细信息将显示在其他面板中。
数据包详细信息窗格	所选数据包的详细协议分解。
数据包字节窗格	所选数据包的十六进制和解码 ASCII 表示。它根据详细信息窗格中单击的部分突出显示数据包字段。

合并数据包

文件详情

了解文件详细信息很有帮助。特别是在处理多个 pcap 文件时，有时需要了解并回忆文件详细信息（文件哈希、捕获时间、捕获文件注释、接口和统计信息）以识别文件、对其进行分类和确定优先级。通过“统计信息 --> 捕获文件属性”或单击窗口左下角的“pcap 图标”查看详细信息。

导出对象

设置时间格式

专家信息

严重性	颜色	信息
Chat	蓝色	有关常规工作流程的信息。
Note	青色	值得注意的事件，如应用程序错误代码。
Warn	黄色	异常错误代码或问题陈述等警告。
Error	红色	格式错误的数据包之类的问题。

数据包过滤

捕获过滤器

只抓取特定的流量，抓取流量时无法更改

过滤器语法

Scope:host, net, port and portrange.

host 1.1.1.1
net 1.0.0.0/24
port 80

Direction: src, dst, src or dst, src and dst

src 1.1.1.1
src 1.1.1.1 and dst 1.1.1.2

Protocol:ether, wlan, ip, ip6, arp, rarp, tcp and udp

tcp
tcp and port 80

显示过滤器

只显示筛选的流量，抓取流量时可以更改

比较运算符

English	C-like	描述	例子
eq	==	平等的	`ip.src == 1.1.1.1`
ne	!=	不等于	`ip.src != 1.1.1.1`
gt	>	比...更棒	`ip.ttl > 240`
lt	<	少于	`ip.ttl < 240`
ge	>=	大于或等于	`ip.ttl >= 0xFA`
le	<=	小于或等于	`ip.ttl <= 0xA`

逻辑表达式

English	C-like	描述	例子
and	&&	逻辑与	`ip.src == 1.1.1.1 and ip.dst == 1.1.1.2`
or	\|\|	逻辑或	`ip.src == 1.1.1.1 or ip.src == 1.1.1.2`
not	!	逻辑非	`not ip.src == 1.1.1.1` 注意：不推荐使用 !=value；使用它可能会提供不一致的结果。建议使用 !(value) 样式以获得更一致的结果。

IP过滤

筛选	描述
`ip`	显示所有 IP 数据包。
`ip.addr == 10.10.10.111`	显示所有包含 IP 地址 10.10.10.111 的数据包。
`ip.addr == 10.10.10.0/24`	显示所有包含来自 10.10.10.0/24 子网的 IP 地址的数据包。
`ip.src == 10.10.10.111`	显示所有来自 10.10.10.111 的数据包
`ip.dst == 10.10.10.111`	显示发送到 10.10.10.111 的所有数据包

TCP/UDP过滤

筛选	描述	筛选	表达
`tcp.port == 80`	查看所有80端口的TCP数据包	`udp.port == 53`	显示所有端口为 53 的 UDP 数据包
`tcp.srcport == 1234`	显示来自端口 1234 的所有 TCP 数据包	`udp.srcport == 1234`	显示所有来自端口1234 的 UDP 数据包
`tcp.dstport == 80`	显示发送到端口 80 的所有 TCP 数据包	`udp.dstport == 5353`	显示发送到端口 5353 的所有 UDP 数据包

应用层过滤

筛选	描述	筛选	描述
`http`	显示所有 HTTP 数据包	`dns`	显示所有 DNS 数据包
`http.response.code == 200`	显示所有带有 HTTP 响应代码“200”的数据包	`dns.flags.response == 0`	显示所有 DNS 请求
`http.request.method == "GET"`	显示所有 HTTP GET 请求	`dns.flags.response == 1`	显示所有 DNS 响应
`http.request.method == "POST"`	显示所有 HTTP POST 请求	`dns.qry.type == 1`	显示所有 DNS“A”记录

高级过滤

筛选	描述	备注
`http contains "Apache"`	在数据包中搜索带有Apache的字符串	区分大小写
`http matches "apache"`	在数据包中搜索带有apache的字符串	不区分大小写
`tcp.port in {80,443}`	查找80，443端口
`string(ip.ttl) matches "[02468]$"`	查询ttl值为偶数的

TCP

依靠三次握手（需要完成握手过程）。
通常具有大于 1024 字节的窗口大小，因为由于协议的性质，请求需要一些数据。

Open TCPPort	Open TCPPort	Closed TCPPort
SYN --> <-- SYN, ACK ACK -->	SYN --> <-- SYN, ACK ACK --> RST, ACK -->	SYN --> <-- RST, ACK

tcp.flags.syn == 1 and tcp.flags.ack == 0 and tcp.window_size > 1024

tcp.seq == 1 and tcp.flags.ack == 1 and tcp.flags.reset != 1

SYN

不依赖三次握手（不需要完成握手过程）。
数据包小于或等于1024字节。

打开 TCP 端口	关闭 TCP 端口
同步--> <-- 同步，确认 RST-->	同步--> <-- RST，确认

tcp.flags.syn == 1 and tcp.flags.ack == 0 and tcp.window_size < 1024

tcp.seq == 1 and tcp.flags.ack == 1 and tcp.flags.reset != 1

UDP

不需要握手过程
不提示打开端口
关闭端口ICMP报错

Open UDPPort	Closed UDPPort
UDP packet -->	UDP packet --> ICMP Type 3, Code 3 message. (Destination unreachable, port unreachable)

udp.length == 8

icmp.code == 3

not(icmp.code == 3) and (udp.dstport < 70) and (udp.dstport > 55)

ARP

arp.opcode == 1

arp.duplicate-address-detected

arp and (arp.opcode == 1) and (arp.src.hw_mac == xx:xx:xx:xx:xx:xx)

DHCP

dhcp.option.dhcp == 1

dhcp.option.dhcp == 3

dhcp.option.dhcp == 5

dhcp.option.dhcp == 6

dhcp.option.hostname matches "hostname"

dhcp.option.domain_name matches "domain"

NetBIOS

nbns.name matches "name"

Kerberos

kerberos.CNameString == "name"

kerberos.pvon == 5

kerberos.realm matches ".org"

ICMP

隧道协议：TCP、HTTP、SSH

data.len > 64 and icmp

FTP

描述	Wireshark 过滤器
全局搜索	`ftp`
“FTP”选项可轻松获取唾手可得的果实： x1x 系列：信息请求响应。 x2x 系列：连接消息。 x3x 系列：身份验证消息。注：“200”表示命令成功。
211：系统状态。 212：目录状态。 213：文件状态	`ftp.response.code == 211`
220：服务就绪。 227：进入被动模式。 228：长被动模式。 229：扩展被动模式。	`ftp.response.code == 220`
230：用户登录。 231：用户注销。 331: 有效的用户名。 430：无效的用户名或密码 530：没有登录，密码无效。	`ftp.response.code == 230`
user：用户名。 pass：密码。 cwd：当前工作目录。 list：清单。	`ftp.request.command == "USER"` `ftp.request.command == "PASS"`
蛮力信号：列出失败的登录尝试。暴力破解信号：列出目标用户名。密码喷射信号：列出静态密码的目标。	`ftp.response.code == 530`

HTTP

描述	Wireshark 过滤器
全局搜索注意：HTTP2 是 HTTP 协议的修订版，具有更好的性能和安全性。它支持二进制数据传输和请求&响应多路复用。	`http` `http2`
GET POST Request：列出所有请求	`http.request.method == "GET"` `http.request.method == "POST"` `http.request`
200 OK：请求成功。 301 永久移动：资源被移动到新的 URL/路径（永久）。 302 临时移动：资源被移动到新的 URL/路径（临时）。 400 Bad Request：服务器不理解请求。 401 Unauthorised：URL 需要授权（登录等）。 403 Forbidden：无法访问请求的 URL。 404 Not Found：服务器找不到请求的 URL。 405 Method Not Allowed：使用的方法不合适或被阻止。 408 Request Timeout：请求看起来比服务器等待时间长。 500 Internal Server Error：请求未完成，意外错误。 503 Service Unavailable：请求未完成服务器或服务已关闭。	`http.response.code == 200` `http.response.code == 301` `http.response.code == 400`
User-Agent：Web 服务器应用程序的浏览器和操作系统标识。 Request URI：指向从服务器请求的资源。 Full URI：完整的URI信息。	`http.user_agent matches "nmap"` `http.request.uri matches "admin"` `http.request.full_uri matches "admin"`
Server：服务器服务名称。 Host：服务器的主机名 Connection：连接状态。 Line-based text data：服务器提供的明文数据。 HTML From URL Encode：Web 表单信息。	`http.server matches "apache"` `http.host matches "host"` `http.connection == "keep-alive"` `data-text-lines matches "admin"`

HTTPS

描述

Wireshark 过滤器

Request：列出所有请求
TLS：全局 TLS 搜索
TLS 客户端请求
TLS 服务器响应
本地简单服务发现协议 (SSDP)

注意：SSDP 是一种提供网络服务广告和发现的网络协议。

http.request

tls

tls.handshake.type == 1

tls.handshake.type == 2

ssdp

# 网络安全 # 企业安全

已在FreeBuf发表 0 篇文章

本文为独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多