Wireshark 学习笔记(二)

Wireshark 学习笔记 (二)

数据包操作

统计|摘要

统计

此菜单提供多种统计选项，可供调查，帮助用户了解流量范围、可用协议、端点和会话等宏观情况，以及一些特定协议的详细信息，如 DHCP、DNS 和 HTTP/2。

解析地址

此选项通过提供解析地址及其主机名的列表，帮助分析师识别捕获文件中可用的 IP 地址和 DNS 名称。请注意，主机名信息来自捕获文件中的 DNS 应答。

协议分级

此选项将捕获文件中的所有可用协议分解，并帮助分析师根据数据包计数和百分比以树状视图查看协议。因此，分析师可以查看端口和服务的整体使用情况，并专注于感兴趣的事件。

会话

对话表示两个特定端点之间的流量。此选项提供五种基本格式的对话列表；以太网、IPv4、IPv6、TCP 和 UDP。因此，分析师可以识别所有对话和事件中感兴趣的接触端点。 您可以使用 "统计 --> 对话" 菜单查看此信息。

端点

端点选项与会话选项类似。唯一的区别是此选项为单个信息字段（以太网、IPv4、IPv6、TCP 和 UDP）提供唯一信息。因此，分析师可以在捕获文件中识别唯一的端点，并将其用于感兴趣的事件。 您可以使用 "统计 --> 端点" 菜单查看此信息。

Wireshark 还支持将 MAC 地址解析为人类可读格式，使用 IEEE 分配的制造商名称。请注意，此转换通过 MAC 地址的前三个字节完成，并且仅适用于已知的制造商。在查看以太网端点时，您可以通过端点窗口左下角的 "名称解析" 按钮激活此选项。

名称解析不仅限于 MAC 地址。Wireshark 还提供了 IP 和端口号名称解析选项。然而，这些选项默认情况下是禁用的。如果您想使用这些功能，需要通过"编辑 --> 首选项 --> 名称解析"菜单来启用它们。一旦您启用了 IP 和端口号名称解析，您将在数据包列表窗格中看到解析的 IP 地址和端口号，同时也能够在"会话"和"端点"菜单中查看解析的名称。

端点菜单视图，包含名称解析：

除了名称解析外，Wireshark 还提供 IP 地理位置映射功能，帮助分析师识别源地址和目标地址。但此功能默认未启用，需要补充数据，如 GeoIP 数据库。目前，Wireshark 支持 MaxMind 数据库，最新版本的 Wireshark 已配置 MaxMind DB 解析器。然而，您仍需要 MaxMind DB 文件，并通过 "编辑 --> 首选项 --> 名称解析 --> MaxMind 数据库目录" 菜单向 Wireshark 提供数据库路径。下载并指定路径后，Wireshark 将自动在匹配的 IP 地址的 IP 协议详细信息下提供 GeoIP 信息。.

端点与地理位置视图。

统计|协议详情

IPv4和IPv6

到目前为止，几乎所有选项都提供了包含两个版本 IP 地址的信息。统计菜单有两个选项用于缩小包含特定 IP 版本的统计信息。因此，分析师可以在单个窗口中识别并列出与特定 IP 版本相关联的所有事件，并使用它来查看感兴趣的事件。您可以使用 "统计 --> IPvX 统计" 菜单来查看这些信息。

DNS

此选项将捕获文件中的所有 DNS 数据包分解，并帮助分析师根据数据包计数器和 DNS 协议的百分比在树形视图中查看结果。因此，分析师可以查看 DNS 服务的整体使用情况，包括 rcode、opcode、class、查询类型、服务以及查询统计信息，并使用它来查看感兴趣的事件。您可以使用 "统计 --> DNS" 菜单来查看这些信息。

HTTP

此选项将捕获文件中的所有 HTTP 数据包分解，并帮助分析师根据数据包计数器和 HTTP 协议的百分比以树状视图查看结果。因此，分析师可以查看 HTTP 服务的整体使用情况，包括请求和响应代码以及原始请求。您可以使用“统计 --> HTTP”菜单查看这些信息。

数据包过滤|基本原理

数据包过滤

Wireshark 中有两种类型的过滤器。虽然它们使用相似的语法，但用于不同的目的。

捕获过滤器	这种类型的过滤器用于仅保存流量的一部分。它在捕获流量之前设置，并且在捕获过程中不可更改。
显示过滤器	这种类型的过滤器用于通过减少可见数据包的数量来调查数据包，并且在捕获过程中可以更改。

注意： 您不能在捕获流量时使用显示过滤器表达式，反之亦然。

捕获过滤器语法

这些过滤器使用字节偏移、十六进制值和掩码，并结合布尔运算符，初看时不容易理解/预测过滤器的目的。基础语法如下：

• 范围(Scope)： 主机、网络、端口和端口范围。
• 方向(Direction)： 源、目的、源或目的、源和目的，
• 协议(Protocol)： 以太网、无线、IP、IPv6、ARP、RARP、TCP 和 UDP。
• 捕获端口 80 流量的示例过滤器：tcp port 80

您可以从这里和这里了解更多关于捕获过滤器语法的内容。快速参考可以在 "捕获 --> 捕获过滤器" 菜单下找到。

显示过滤器语法

这是 Wireshark 最强大的功能。它支持 3000 种协议，并允许在协议分解下进行数据包级别的搜索。官方的“ 显示过滤器参考 ”提供了所有支持的协议分解，用于过滤。

• 捕获端口 80 流量的示例过滤器：tcp.port == 80

Wireshark 具有一个内置选项（显示过滤器表达式），用于存储所有支持的协议结构，以帮助分析师创建显示过滤器。我们稍后将介绍“显示过滤器表达式”菜单。现在让我们了解显示过滤器操作的基础知识。快速参考可以在 "分析 --> 显示过滤器" 菜单下找到。

比较运算符

English	C 语言风格	描述	示例
eq	==	等于	ip.src == 10.10.10.100
ne	!=	不相等	ip.src != 10.10.10.100
gt	>	大于	ip.ttl > 250
lt	<	小于	ip.ttl < 10
ge	>=	大于或等于	ip.ttl >= 0xFA
le	<=	小于或等于	ip.ttl <= 0xA

注意： Wireshark 在过滤时支持十进制和十六进制值。你可以根据将要进行的搜索使用任何你想要的格式.

逻辑表达式

英文	C 语言风格	描述	示例
adn	&&	逻辑与	(ip.src == 10.10.10.100) AND (ip.src == 10.10.10.111)
or	|	逻辑或	(ip.src == 10.10.10.100) OR (ip.src == 10.10.10.111)
not	!	逻辑非	!(ip.src == 10.10.10.222)注意： 使用 !=value 已不推荐；使用它可能导致结果不一致。建议使用 !(value) 样式以获得更一致的结果。

数据包过滤工具栏

过滤工具栏是您创建和应用显示过滤器的地方。它是一个智能工具栏，可以帮助您轻松创建有效的显示过滤器。在开始过滤数据包之前，这里有一些建议：

• 数据包过滤器使用小写定义。
• 数据包过滤器具有自动补全功能，用于分解协议细节，每个细节都由一个“点”表示。
• 数据包过滤器具有以下的三色表示方法。

绿色	有效的过滤器
红色	无效的过滤器
黄色	警告过滤器。这个过滤器可以工作，但它不可靠，建议用有效的过滤器替换它。

数据包过滤|协议过滤器

协议过滤器

Wireshark 支持 3000 种协议，并通过过滤协议字段来允许包级调查。

IP过滤器

IP 过滤器帮助分析师根据数据包的 IP 层信息（OSI 模型的网络层）来过滤流量。这是 Wireshark 中最常用的过滤器之一。这些过滤器会过滤网络级信息，如 IP 地址、版本、生存时间、服务类型、标志和校验和值。

常见的过滤器在给定的表格中显示。

过滤器	描述
ip	显示所有 IP 数据包。
ip.addr == 10.10.10.111	显示包含 IP 地址 10.10.10.111 的所有数据包。
ip.addr == 10.10.10.0/24	显示包含 10.10.10.0/24 子网中 IP 地址的所有数据包。
ip.src == 10.10.10.111	显示所有源自 10.10.10.111 的数据包
ip.dst == 10.10.10.111	显示所有发送到 10.10.10.111 的数据包
ip.addr vs ip.src/ip.dst	注意：ip.addr 过滤流量时不考虑数据包方向，而 ip.src/ip.dst 则根据数据包方向进行过滤。

TCP和UDP过滤器

TCP 过滤器帮助分析师根据数据包中的协议级信息（OSI 模型的传输层）来过滤流量。这些过滤器会过滤传输协议级信息，如源端口和目标端口、序列号、确认号、窗口大小、时间戳、标志、长度和协议错误。

过滤器	描述	过滤器	表达式
tcp.port == 80	显示所有端口为 80 的 TCP 数据包	udp.port == 53	显示所有端口为 53 的 UDP 数据包
tcp.srcport == 1234	显示所有从端口 1234 发起的 TCP 数据包	udp.srcport == 1234	显示所有从端口 1234 发起的 UDP 数据包
tcp.dstport == 80	显示所有发送到端口 80 的 TCP 数据包	udp.dstport == 5353	显示所有发送到端口 5353 的 UDP 数据包

应用层协议过滤器|HTTP和DNS

应用层协议过滤器帮助分析师根据数据包中的应用层协议信息（OSI 模型的第 4 层）过滤流量。这些过滤器根据协议类型过滤特定应用信息，如有效载荷和关联数据。

过滤器	描述	过滤器	描述
http	显示所有 HTTP 数据包	dns	显示所有 DNS 数据包
http.response.code == 200	显示所有包含 HTTP 响应码 "200" 的数据包	dns.flags.response == 0	显示所有 DNS 请求
http.request.method == "GET"	显示所有 HTTP GET 请求	dns.flags.response == 1	显示所有 DNS 响应
http.request.method == "POST"	显示所有 HTTP POST 请求	dns.qry.type == 1	显示所有 DNS "A" 记录

显示过滤器表达式

如前所述，Wireshark 具有内置选项（显示过滤器表达式），用于存储所有支持的协议结构，以帮助分析师创建显示过滤器。当分析师无法回忆特定协议所需的过滤器，或不确定过滤器可分配的值时，显示过滤器表达式菜单提供了一个易于使用的显示过滤器构建指南。它位于“分析 --> 显示过滤器表达式”菜单下。

不可能记住每种协议的显示过滤器所有细节。每种协议可以有不同的字段，并且可以接受各种类型的值。显示过滤器表达式菜单显示了所有协议字段、接受的值类型（整数或字符串）以及预定义值（如果有）。请注意，掌握创建过滤器和学习协议过滤器字段需要时间和练习。

高级过滤

过滤器："contains"

过滤器	包含
类型	比较操作符
描述	在数据包中搜索值。它是区分大小写的，并提供与“查找”选项类似的功能，通过专注于特定字段。
示例	查找所有 "Apache" 服务器。
工作流程	列出所有 HTTP 数据包，其中数据包的 "服务器" 字段包含 "Apache" 关键字。
用法	http.server contains "Apache"

过滤器:"匹配"

过滤器	matches
类型	比较操作符
描述	搜索正则表达式的模式。它不区分大小写，复杂的查询有误差范围。
示例	查找所有 .php 和 .html 页面。
工作流程	列出所有 HTTP 数据包，其中数据包的 "host" 字段匹配关键词 ".php" 或 ".html"。
使用	`http.host matches ".(php

过滤器:"in"

过滤器	in
类型	设置成员资格
描述	在特定范围/范围内搜索某个值或字段。
示例	查找所有使用端口 80、443 或 8080 的数据包。
工作流程	列出所有 TCP 数据包，其中数据包的 "端口" 字段值为 80、443 或 8080。
使用	tcp.port in {80 443 8080}

过滤器:"upper"

过滤器	大写
类型	函数
描述	将字符串值转换为大写。
示例	查找所有 "APACHE" 服务器。
工作流程	将所有 HTTP 数据包的"服务器"字段转换为大写，并列出包含"APACHE"关键字的数据包。
使用	upper(http.server) contains "APACHE"

过滤器:"lower"

过滤器	小写
类型	函数
描述	将字符串值转换为小写。
示例	查找所有 "apache" 服务器。
工作流程	将所有 HTTP 数据包的"服务器"字段信息转换为小写，并列出包含"apache"关键字的数据包。
使用	lower(http.server) contains "apache"

过滤器:"string"

过滤器	字符串
类型	函数
描述	将非字符串值转换为字符串。
示例	查找所有奇数编号的帧。
工作流程	将所有“帧编号”字段转换为字符串值，并列出奇数编号的帧。
使用	string(frame.number) matches "[13579]$"

书签和过滤按钮

过滤器工具栏有一个过滤器书签部分，用于保存用户创建的过滤器，这有助于分析师通过几次点击重新使用喜欢的/复杂的过滤器。与书签类似，您可以创建过滤器按钮，只需单击一次即可应用。

创建和使用书签。

创建和使用显示过滤器按钮。

个人资料

Wireshark 是一款多功能工具，帮助分析师进行深入的数据包分析。正如我们在会议室中所讨论的，要分析特定感兴趣的事件，需要配置多个选项。每次调查案例都需要重新更改配置，这需要不同的着色规则和过滤按钮。这就是 Wireshark 配置文件发挥作用的地方。您可以为不同的调查案例创建多个配置文件，并按需使用。您可以使用 "编辑 --> 配置文件" 菜单或 "状态栏右下角 --> 配置文件" 部分来创建、修改和更改配置文件设置。