流量分析(wireshark使用)

时间:2023-04-01 12:26:21

1 Wireshark下载

下载地址

2 界面

主界面

流量分析(wireshark使用)

分组列表

将抓取到的流量分组呈现

流量分析(wireshark使用)

分组详情

将流量以TCP/IP 4层模型展示,从上到下依次为网络接口层、网际层IP、运输层(TCP或UDP)、应用层(telnet、ftp、smtp等)

流量分析(wireshark使用)

  • Frame :物理层的数据帧概况。
  • Ethernet II :数据链路层以太网帧头部信息。
  • Internet Protocol Version 4 : 互联网层E 包头部信息。
  • Transmission Control Protocol :传输层的数据段头部信息,此处是TCP 协议。
  • Hypertext Transfer Protocol :应用层的信息,此处是HTTP 协议。

上图中右侧为指定层的流量详情,以字节流的形式展现(16进制)。

工具栏

流量分析(wireshark使用)

菜单栏

协议分级

统计→协议分级,可以大致看到抓获的数据包的主要协议情况

流量分析(wireshark使用)

会话

统计→会话可以查看IP连接信息统计

流量分析(wireshark使用)

过滤

流量分析(wireshark使用)

过滤选项一般遵循如下的原则,协议名.字段名 比较符号 值比如:

tcp.dstport == 80 // 只显tcp协议的目 标端口80
tcp.srcport == 80 // 只显tcp协议的来 源端口80
tcp.port >= 1     //过滤端口大于一

如果要筛选出http协议的了流量包,直接在过滤框中输入http即可。

还可以指定数据包中某个字段作为筛选规则,比如筛选出源地址为192.168.101.128的流量,首先要在四层模型中找到网际层(ipv4协议),找到Source Address字段,右击选择作为过滤器应用→选中即可:

流量分析(wireshark使用)

查看流量包详细信息

流量包数据可以在四层模型下的应用层查看,但是查看详细的请求响应数据,则要右击数据分组→选择追踪流→HTTP流(举例)

流量分析(wireshark使用)

3 常见web漏洞流量分析

3.1 SQL注入

流量分析(wireshark使用)

3.2 XSS

流量分析(wireshark使用)

3.3 RCE

流量分析(wireshark使用)

3.4 文件上传

流量分析(wireshark使用)

3.5 文件包含

流量分析(wireshark使用)