TCP/IP协议族里的协议众多 要一一精通比较困难,在一些紧急急需要分析主机、客户端的流量场景时,不懂协议也要上!下面就是用到哪里就记录到哪,有错误欢迎评论指出,多谢。
wireshark这玩意相当于电脑的总网络代理,不像burpsuite只有只能拦截浏览器的http/https两种协议,电脑上使用的几百种协议,他都能给你拦截下来,问题也随之产生了,那么多协议,那么多数据包,几乎一秒好几百条数据包,新手看到这数据像瀑布一样的场面,胆小估计都得吓尿了,不要慌,跟着老夫一把梭。
你就把他当成mysql数据库,里面的库、表、字段、数据非常多,必须通过精确的过滤语法把想要的数据过滤出来才能得到发包、响应包,进行分析,如果不会过滤,那么这个神器也和你没什么关系。
使用这玩意的情景,很多时候下是不知道客户端使用了什么鬼协议,在定出大致范围的时候,清空包,然后快速点击客户端的一个发包功能,wireshark会拦截到前面的位置,这样就好定位出来了。然后在通过分析TCP流,查看是什么协议,在进行过滤。
选择网卡
wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。
用wifi 就选wi-fi:en0
en0就是你的网卡标识。
用有线网线的话,看看标识是什么,我好久没用过有线了。
如果你知道服务器的ip
# Source 为本机的地址
# 过滤 Source字段为: 10.161.114.198 的数据
ip.src eq 10.161.114.198
# Destination 表示 服务器的地址
# 过滤 Destination字段为: 10.161.204.10 的数据
ip.dst eq 10.161.204.10
每条记录都有如下协议层
(1) Frame: 物理层的数据帧概况
(2)Ethernet II: 数据链路层以太网帧头部信息
(3)Internet Protocol Version 4: 互联网层IP包头部信息
(4)Transmission Control Protocol: 传输层的数据段头部信息,此处是TCP
(5)Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议
应用层的信息,都是二进制乱码,看个卵,
不要怕,右键Follow——>TCP Stream,还是能看到一些数据的。
拦截TCP报头
捕获过滤器中填入表达式:host www.cnblogs.com and port 80(80等效于http)
会有多个TCP流时在显示过滤器中,这时填入表达式:tcp.stream eq 0 筛选出第一个TCP流(包含完整的一次TCP连接:三次握手和四次挥手)
tcp.stream eq 0
如果你知道使用什么协议---http协议拦截举例
-
过滤http,并且清理一下历史数据
-
随便打开一个域名
-
分析包
我也不知道为什么http 也会叫OCSP协议,至少格式还是一样的,先不管。
-
分析TCP流,熟悉的格式又回来了。
