Kali学习笔记4:Wireshark详细使用方法

时间:2022-01-31 04:03:25

Kali Linux自带Wireshark工具使用介绍:

1.进入界面

这里Lua脚本报错,无需关注

Kali学习笔记4:Wireshark详细使用方法

开始使用:

双击第一个eth0:以太网0,开始抓包:

点击上边的这个按钮可以设置:

Kali学习笔记4:Wireshark详细使用方法

这里注意:需要选择混杂模式,获取机器所有以太网连接包

作用:不发送给当前IP的数据包也会抓取

同时我们观察到,下边这个捕获过滤器,这个有什么用呢?

通常我们抓获的数据包都有很多,这里的过滤器作用就是过滤得到我们需要的数据包。

使用方式:

点击绿色按钮再管理界面:

Kali学习笔记4:Wireshark详细使用方法

在这里就可以设置各种,可以按需求自己按照格式书写,点击加号新建:

Kali学习笔记4:Wireshark详细使用方法

好的,我们选择抓本机的包:192.168.87.132:

Kali学习笔记4:Wireshark详细使用方法

点击开始,然而,并没有反应

我们ping 一下其他IP

Kali学习笔记4:Wireshark详细使用方法

这时候打开wireshark,发现有数据了

Kali学习笔记4:Wireshark详细使用方法

抓取到的这些数据包可以保存下来,以后看,点击文件中的保存即可

我们还可以在编辑的首选项中设置适合自己的布局、在列中设置每一列需要显示的内容(通常默认设置足以满足我们的需求):

Kali学习笔记4:Wireshark详细使用方法

好的,刚才我们设置的是抓包筛选器(总闸)

接下来看看显示筛选器:对抓取到的数据包进行筛选

我们实际使用的其实通常是显示筛选器:

比如这里我们只需要ARP协议:

Kali学习笔记4:Wireshark详细使用方法

可以手动输入,也可以自动:

比如我只看192.168.1.1的:

Kali学习笔记4:Wireshark详细使用方法

选中后,它会自动生成匹配规则:

Kali学习笔记4:Wireshark详细使用方法

也可以多选一些,多种组合:

Kali学习笔记4:Wireshark详细使用方法

可以查看抓取包的详细信息,以一个ARP协议包为例:

Kali学习笔记4:Wireshark详细使用方法

看一个TCP协议包:

Kali学习笔记4:Wireshark详细使用方法

我们发现这里为1,说明这个包是TCP协议的ACK数据包

简单介绍下TCP协议:

在客户机和服务器之间建立正常的TCP网络连接时

客户机首先发出一个SYN消息

服务器使用SYN+ACK应答表示接收到了这个消息

最后客户机再以ACK消息响应

这样在客户机和服务器之间才能建立起可靠的TCP连接

再看一个DNS协议:

这是一个查询的DNS数据包:

Kali学习笔记4:Wireshark详细使用方法

这是一个响应包:

Kali学习笔记4:Wireshark详细使用方法

具体数据:

Kali学习笔记4:Wireshark详细使用方法

我们最常见的其实是HTTP协议:

访问下百度看看:

Kali学习笔记4:Wireshark详细使用方法

通常HTTP协议是80端口,但是如果有些奇葩网站,偏要使用81端口,那么Wireshark无法自动解析,我们可以这样:

右键解码为:

Kali学习笔记4:Wireshark详细使用方法

点击添加相应的端口即可(81)

Kali学习笔记4:Wireshark详细使用方法

这时候81端口就会解析为HTTP协议

Wireshark还有一个follow stream的功能,会跟踪你的访问:

右键,这里有个追踪流:

Kali学习笔记4:Wireshark详细使用方法

通常我们追踪TCP流:

Kali学习笔记4:Wireshark详细使用方法

从这里可以看到:

我发送了一个GET请求,服务器响应了一个200状态码

在这里就可以完整观察一个连接过程

我们可以再看看TCP数据包:

Kali学习笔记4:Wireshark详细使用方法

这里我们可以发现,我们看不懂TCP数据包,而HTTP数据包能看懂?

因为,HTTP是明文传输的,我们可以看出来内容

于是产生了HTTPS加密,我们抓包HTTPS,基本就无法看出来了

我们可以看一个SSL:

Kali学习笔记4:Wireshark详细使用方法

看不懂?没错,这就是HTTPS加密

基本功能的使用就到这里了,还有一些统计等等功能。