Wireshark入门教程及破解.ppt

Wireshark使用心得 下载 安装 启动抓包 选择抓包的网卡 定义抓包选项 网卡混杂模式 双网卡桥接设置 Tips Capturefilter Capturefilter Capturefilter Capturefilter 例子 Tips Capturefilterprofile 抓包显示选项 开始抓包 停止抓包 Displayfilter Displayfilter Displayfilter Displayfilter Displayfilter Displayfilter Displayfilter 例子 如果过滤器的语法是正确的 表达式的背景呈绿色 如果呈红色 说明表达式有误 Tips Displayfilter Displayfilter Displayfilter 察看数据包 抓客户端证书演示 抓客户端证书演示 抓客户端证书演示 直接抓客户端证书演示 直接抓客户端证书演示 Tips Tips Tips Tips Preferences Tips Preferences Tips DecodeAs Tips DecodeAs Tips DecodeAs 王翊心 Wireshark高阶 使用Profile定制Wireshark 使用Profile定制Wireshark 鼠标右键单击Wireshark界面右下角Profile选择配置profile 使用Profile定制Wireshark 鼠标左键单击Wireshark界面右下角Profile选择不同的profile 使用Profile定制Wireshark ExpertInfoComposite Chat 灰色 HTTPGets Applicationcalls TCPSYNs FINs 基本工作流信息Note 青绿色 TCPRetransmissions Resets Keep Alives DuplicateACKs SNMP等问题以及常见的应用错误代码例如HTTP404Warn 黄色 警告 错序的数据包和非常见的应用错误代码Error 红色 严重问题 畸形数据包和校验和错误 TCP序列号分析 TCP序号分析 TCPRetransmission 发生在ACK超时限后发送方重传数据包TCPFastRetransmission 发生在ACK计时器到期之前发送方就开始重传数据包 发送方接收到一些数据包 这些包的TCP序号大于ACK过的数据包TCP序号 发送方收到3个以上DUPACK时应该启动快速重传 TCP Out of order 在一个连接中收到数据包的TCP序号小于之前收到的数据包的TCP序号TCPPrevioussegmentlost 在一个连接中收到的数据包的TCP序号大于期望的下一个应该收到的数据包的TCP序号 表明中间有一个或多个数据包没有按预期到达 通常回和TCPRetransmission伴生 TCP序号分析 TCP ACKed lost segment 收到的ACK和发送的数据数据包段不匹配 TCPKeep Alive 发生在TCP序号等于上一个数据包中的数据的最后一个字节 用来让接收方发送一个ACK TCPKeep AliveACK 对于TCPKeep Alive响应的ACK数据包TCPDupACK 发生在看到同样的ACK号并且小于发送方发送的数据的最后一个字节 如果接收方发觉接收到数据包的TCP序号间有间隔 它将为这个连接上每一个后续的数据包生成一个DUPACK 直到丢失的数据包被成功接收 重传成功 它可以明确的表明有丢弃 丢失的数据包 TCP序号分析 TCPZeroWindow 发生在接收方声明它的接收窗口大小为零 这会告诉发送方停止发送数据 因为接收方的接收缓冲区已经满了 这表明接收方有资源方面的问题 应用不能及时地从TCP缓冲区中提取数据 TCPZerowindowProbe 发送方通过发送数据的下一个字节以触发接收方回应一个ACK 看看接收方接收窗口满的情形是否继续存在 如果接收窗口还是零 发送方在下一次试探之前将其维持计数器的事件乘二 TCPZeroWindowViolation 发送方不理睬接收窗口为零的信息 继续发送数据 TCP序号分析 TCPWindowUpdate 当应用从TCP接收缓冲区中收走数据后 会在TCP层发送一个WindowUpdate数据包给发送方 表明接收缓冲区中有更多的空间来接收数据 通常都发生在ZeroWindow后 并且在WindowUpdate数据包中告知接收缓冲区的大小 TCPWindowFull 当数据包段中载荷数据将全部填满另一端的接收缓冲区时 这个标志将被设在该数据包段中 发送方知道它已经发送的数据足以填满接收缓冲区 必须马上停止发送数据直到至少有一些数据被确认收到 这会引起发送方和接收方之间数据传递的延迟 降低吞吐量 这个事件发生时 另一端的接收方也许会发生ZeroWindow的情况 并发回TCPZeroWindow 需要注意的是即便没有ZeroWindow 这种情形也会发生 ColoringRule 规则名称规则条件前端颜色 字体颜色 后端颜色 背景颜色 规则顺序 上端的规则首先被执行 Conversations A端地址 端口B端地址 端口A端到B端数据量 数据包数B端到A端的数据量 数据包数起始时间持续时间 通过Duration和数据包数量和大小可以找出通信时间较长的会话 配合tcp time delta过滤条件可以比较容易地定位发送方或接收方的性能问题 A端到B端bpsB端到A端bps tcp time delta 添加tcp time delta显示列 添加tcp time deltaColoringrule 解密SSL数据包 解密SSL数据包 解密SSL数据包 解密SSL数据包 不带私钥保护口令的PEM格式私钥文件 BEGINRSAPRIVATEKEY MIICXgIBAAKBgQDrHdbb yGE6m6EZ03bXURpZCjch2H6g97ZAkJVGrjLZFfettBAEYa8vYYxWsf8KBpEZeksSCsDA9MnU2H6QDjzqdOnaSWfeXMAr4OsCOpauStpreq7q1hk8iOqy f4KijRrhWplh1QW1A8gtSIg137pyUhW WsfwxKwmzjGIC1SwIDAQABAoGBAMneA9U6KIxjb JUg 99c7h9W6wEvTYHNTXjf6psWA hpuQ82E65 ZJdszL6 b6QKMh16r5wd6smQ CmhOEnqqyT5AIwwl2RIr9GbfIpTbtbRQw EcQOCx9wFiEfotGSsEFi72rHK DpJqRI9AkEA72gdyXRgPfGOS3rfQ3DBcImBQvDSCBa4cuU1XJ1 MO93a8v9Vj87 yDm4xsBDsoz2PyBepawHVlIvZ6jDD0aXw ENDRSAPRIVATEKEY 带私钥保护口令的PEM格式私钥文件 BEGINRSAPRIVATEKEY Proc Type 4 ENCRYPTEDDEK Info DES EDE3 CBC F6C218D4FA3C8B66FR2cnmkkFHH45Dcsty1qDiIUy uXn 9m xeQMVRxtiSAmBmnUDUFIFCDDiDc9yifERok2jPr2BzAazl5RBxS2TY 7x0 dHD11sF3LnJUoNruo77TERxqgzOI0W1VDRA ygw5JslxgiN18F36E cEP5rKvVYvfEPMa6IsiRhfZk1jLAuZihVWc7JodDf 6RKVyBXrK bDtdEih bOnYu ZDvjAzVz9GhggCW4QHNboDpTxrrYPkj5Nw ENDRSAPRIVATEKEY 解密SSL数据包 root localhost opensslrsa inencrypted key outcleartext keyEnterpassphraseforencrypted key writingRSAkeyroot localhost root localhost opensslpkcs12 inpem cert inkeypem key export outcert pkcs12EnterExportPassword Verifying EnterExportPassword root localhost root localhost o