网络空间安全概论 实验6 网络监听wireshark

网络监听

wireshark介绍

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截

取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为

接口，直接与网卡进行数据报文交换。

在过去，网络封包分析软件是非常昂贵的，或是专门属于盈利用的软件。Ethereal的出

现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的途径取

得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广

泛的网络封包分析软件之一。

网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark来检查资

讯安全相关问题，开发者使用Wireshark来为新的通讯协定除错，普通使用者使用

Wireshark来学习网络协定的相关知识。当然，有的人也会“居心叵测”的用它来寻找一

些敏感信息……

Wireshark不是入侵侦测系统（IntrusionDetectionSystem,IDS）o对于网络上的异常

流量行为，Kireshark不会产生警示或是任何提示。然而，仔细分析Wireshark截取的

封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内

容的修改，它只会反映出流通的封包资讯。Wireshark本身也不会送出封包至网络上。

wireshark工作流程

（1）确定Wireshcirk的位置。如果没有一个正确的位置，启动Wireshark后会花费很

长的时间捕获一些与自己无关的数据。

（2）选择捕获接口。一般都是选择连接到Inteoet网络的接口，这样才可以捕获到与

网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。

（3）使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用

户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。

（4）使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使

过滤的数据包再更细致，此时使用显示过滤器进行过滤。

（5）使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想

更加突出的显示某个会话，可以使用着色规则高先显示。

（6）构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的

形式可以很方便的展现数据分布情况。

（7）重组数据。Wireshark的重组功能，可以重组一个会话中不同数据包的信息，或者

是一个重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数

据包中。为了能够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。

wireshark下载安装

从官网https://w^v.wireshark,org/下载安装包，在windows环境下进行安装。

•安装成功后启动界面如下

“Wireshark网用分析:K

文件(F)编辑(E)视图(V)跳转(G)捕次(C)分析(A)统计(S)电话(Y)无线(W)工具(T)帮助(H)

4■《@XCQ-T主曾曼二三ad氢三

■|应用显示过海器…<Ctrl-/>

WelcometoIireshark

捕获

…使用这个过滤器：[HI输入酒获过危器…3

VMwareNetworkAdapterVMnet8州

以太网24

Adapterforloopbacktrafficcapture「

本地连接•10

本地连接.9

本地连接*8

蓝牙网络连接

VMwareNetworkAdapterVMnetl

本地连接.2

本地连接•1

WLAN

wireshark捕获报文

使用wireshark监听本地网卡，捕获数据包。

4正a岬ru㈤2

文件⑥编烟㈤视图M跳转(fi)分析(A)统计(S)电话00无线他)丁具①留助(H)

“■，⑥「义ey鳖下里二建qea史

Ini应用昱示过原#…c【rl-,C3,)+

Xo.T1BOSourceDestinationProtocolLongthInfo

284414093563ASUSTekC_ce:4e:37BroadcastARP60Whohas56?Tell10.

284514.0955298UDP7264309-»8995Len=30

284614.105542ASUSTekC_6b:54：23BroadcastARP60Whohas60?lell10.H

285014.124482Micro-St_ef:99:d7BroadcastARP60Whohas62?Tell10.

285114.129078440TCP55[TCPKeep-Alive]14088->443[A

285214.148400044TCP66[TCPKeep-AliveACK]443Tl40

285414.153318ASUSTekC_6b:54：23BroadcastARP60Whohas61?Tell10.H

d二

1.通信建立成功报文

4Wireshark•分组49以太网2

e______________________________________________________

▼Frame49:66bytesonwire(528bits),66bytescaptured(528bits)oninterface\Device\NPF

Sectionnumber:1

Interfaceid:0(\Device\NPFL{D1D4E4B6-9A92-46A7-88E1-5E3347E4AD1B})

Encapsulationtype:Ethernet(1)

ArrivalTime:Nov8,202212：09：34.585853000中国标准时间

[Timeshiftforthispacket:0.000000000seconds]

EpochTime:1667880574.585853000seconds

[Timedeltafrompreviouscapturedframe:0.008569000seconds]

[Timedeltafrompreviousdisplayedframe:0.018227000seconds]

[Timesincereferenceorfirstframe:0.294622000seconds]

FrameNumber:49

0000988feO64aO0200005e00010b08004500••・d・•E

0010003449c94000310629cO8bc48e1e0a644l-@1)d

0020b1f401bb36bbead863949383336e80106-c3n

00300256c57400000101050a9383336d9383Vt-3m

0040336e3n

1000....=HeaderLength:32bytes(8)

>Flags:0x010(ACK)

Window:598

[Calculatedwindowsize:598]

[Windowsizescalingfactor:-1(unknown)]

Checksum:0xc574[unverified]

[ChecksumStatus:Unverified]

UrgentPointer:0

>Options:(12bytes),No-Operation(NOP),No-Operation(NOP),SACK

>[Timestamps]

>[SEQ/ACKanalysis]

可以看到数据收发实际上是应用层协议数据，例如图中是modbus协议的数据报文，如

何区分报文是数据报文还是网络报文，可以通过len长度或者下方的协议层查看

•主动关闭，发送FINoScq=328

服务端状态为FINwaitl处于半关闭状态

客户端状态为closed_wait处于半关闭状态

客户端发送确认ackack=328+l

服务端状态为FTN_wait2

客户端发送FINseq=133

客户端状态为LAST_ack

服务端状态为time_wait

服务端发送ackack=133+1

客户端状态closed

服务端状态closed,至此本次通信结束

wireshark过滤规则

一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况：

(1)对源地址为192.168.0.1的包的过滤，即抓取源地址满足要求的包。

表达式为:ip.src=192.168.0.1

(2)对目的地址为192.168.0.1的包的过滤，即抓取目的地址满足要求的包。

表达式为:ip.dst=192.168.0.1

(3)对源或者目的地址为192.168.0.1的包的过滤，即抓取满足源或者目的地址的ip

地址是192.168.0.1的包。

表达式为：ip.addr==192.168.0.1,或者ip.src==192.168.0.1orip.dst==

192.168.0.1

（4）要排除以上的数据包，我们只需要将其用括号囊括，然后使用〃!〃即可。

表达式为：！（表达式）

二、针对协议的过滤

（1）仅仅需要捕获某种协议的数据包，表达式很简单仅仅需要把协议的名字输入即可。

表达式为:http

（2）需要捕获多种协议狗数据包，也只需对协议进行逻辑组合即可°

表达式为：httportelnet（多种协议加上逻辑符号的组合即可）

（3）排除某种协议的数据包

表达式为：notarp!tcp

三、针对端口的过滤（视协议而定）

（1）捕获某一端口的数据包

表达式为：tcp.port==80

（2）捕获多端口的数据包，可以使用and来连接，下面是捕获高端口的表达式

表达式为:udp.port>=2048

四、针对长度和内容的过滤

（1）针对长度的过虑（这里的长度指定的是数据段的长度）

表达式为:udp.length<30http,contentlength<=20

（2）针对数据包内容的过滤

表达式为:http,request,urimatches"vipscu”（匹配http请求中含有vipscu字段

的请求信息）

wireshark捕获浏览网页

wireshark无法在未配置对应服务器的ssl相关证书的情况下解析捕获到的https

内容，因此才用其捕获http协议的网络内容。

|Mtpsczi■"

6Tia»Source(nationProtocolL0ncthIftfo

:2711.91934644120.7921.86HTTP627GET/detail/29-xonethbjgcmyqjv.htmlHTTW1.1

2901981763610,100.177.244HTTP211HUP/1.1200OK(text/html)

6353.67339610.100177.24417HTTP280GET/20221108124522/72999f55e79152a7ffd9a6daf4eccaf4/jdyr

6653.71494510.10017724492HTTP211GET/p$dk_param?ver$ion«wymu$icwi,HTTW1.1

735373818444119.167.149221HTTMSON640POST/p$dk/getseedsHTTP/1.1.JavaScriptObjectNotation(appl

7673.7511589210,100177.244HTTP1251HTTP/1.1200OK(text/plain)

9443773706119.167.14922110,100.177.244HTTP1115HUP/1.1200OK(text/plain)

98337751081533710711710.100177.244HTTP930HTTP/1.1206PartialContent(audlo/mp«g)

995377559210.10017724415337.107.117HTTP285GET/20221108124522"2999f55e79152a7ffd9a6daf4eccaf4/Jdyr

132238192171710,100177.244HTTP402HTTP/1.1206PartialContent(audio/mpeg)

1330381942310.100177.24417HTTP285GET/20221108124522/72999f55e79152a7ffd9a6daf4eccaf4/jdyr

1637387792115337.107.11744HTTP702HTTP/1.1206PartialContent(audlo/mpeg)

1648387809310.100177.244153.37.107,117HTTP286GET/20221108124522/72999f55e79152a7ffd9a6daf4eccaf4/Jdyr

191739199571710.100177.244HTTP1022HTTP/1.1206PartialContent(audio/mpeg)

1920392015310.10017724415337.107.117HTTP287GET/20221108124522/72999f55e79152a7ffd9a6daf4eccaf4/idyr

分析http报文

66b3./14V451U.1UU.1//.Z4472HIIE211Uti/psdk_paramfvers»on=vvymusicw_3.U.l/.IMlIk

Frame271:627bytesonwire(5016bits),627bytescaptured(501000000005e00010b988feO64aO0208004500*dE

EthernetII,Src:HuaqinTe_04:a0：02(9fc：8f:e0：64:a0：02),Dst:IETF-V00100265f4c44000800600000a64b1f4784fe@dxO

InternetProtocolVersion4,Src:44,Dst:120,79.21.860020155619c80050b262077116f5a9975018VPbqP

TransmissionControlProtocol,SrcPon:6600,DstPort:80,Seq:1,.003002014c550000474554202f6465746169LUGET/detai

00.06c2f32392d786f6e657468626a67636dl/29-xonethbjgcm

SourcePort:6600

)05079716a762e68746d6c20485454502f31yqjv.HmIHTTP/1

DestinationPort:80

：)：ifr：)2e31OdOa486f73743a207777772e6d61.1host:www.ma

[Streamindex:12]6e6f6e676a632e636f6dOd0a436f6e6enongjc.comConn

[Conversationcompleteness:Incomplete(28)]0080656374696f6e3a206b6565702d616c69ection:keeo-ali

(TCPSegmentLen:573]00907665OdOa43616368652d436f6e747261

SequenceNumber1(relativesecuencenumber)OOaO6c3a206d61782d6167653d30Od0a5570

SequenceNumber(raw):299276868167726164652d496e7365637572652d52grade-lnsecure-R

[NextSequenceNumber574(relativesequencenumber)]0657175657374733a2031Od0a55736572equests:1User

AcknowledgmentNumber:1(relativeocknumber)：：l-s)?d4167A5743a204dM7aA96c6e61?f-AgentMozilla/

Acknowledgmentnumber(raw):385198487352e30202857696e646f7773204e54205.0(WindowsNT

0531302e303b2057696e36343b2078363410.0：Win64：x64

0101....=HeaderLength:20bytes(5)

0X29204170706c655765624b69742f3533)AppieWebKit/53

Flags:0x018(PSH.ACK)

372e333620284b48544d4c2c206c696b7.36：KHTML,lik

Window:5132c65204765636b6f2920436B726f6d652feGecko)Chrome/

(Calculatedwindowsize:513]0'3C3130372e302e302e3020536166617269Safari

[Windowsizescalingfactor:-1(unknown)]IJ2f3533372e3336204564672f3130372e/537.36Edg/107.

Checksum:0x4c55(unverified]0150302e313431382e3335Od0a41636365700.1418.35Accep

(ChecksumStatus:Unverified)743a20746578742f68746d6c2c617070t:texVhtmlapp

UrgentPointer:06c69636174696f6e2f7868746d6c2b78lication/xhtml♦x

(Timestamps]6d6c2c6170706c69636174696f6e2f78ml.application/x

[SEQ/ACKanalysis]'01906d6c3b713d302e392c696d6167652f77ml：q=0.9.image/w

!0-306562702c696d6167652f61706e672c2aebp.inage/apngJ

TCPpayload(573bytes)