地位

在护网中蓝队其中一个重要的作用就是针对攻击的流量进行分析,一般是使用态势感知,全流量分析,防护墙等安全设备来捕获流量,并且对其进行流量分析,我们需要掌握流量特征和分析的方法

wireshark 介绍和界面

wireshark是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用Winpcap作为接口,直接与网卡进行数据报文交换。在过去,网络封包分析软件是非常昂贵的,或者专门属于盈利用的软件。Wireshark的出现改变了这一切,使用者可以以免费的途径获取软件及其源码,并拥有对源代码修改及客制化的权利。WIreshark是全世界最广泛的网络封包分析软件之一

选择网口后进入主页面,可以看到流量包,在主页面中可以看到三部分数据,分别是【分组列表】、【分组详情】、【分组字节流】

  • 分组列表
    • 将流量以分组的形式,简单的呈现出来
  • 分组详情
    • 将流量以TCP/IP五层模式形式展现出来
      • 应用层:Hypertext Transter Protol
      • 运输层:Transmission Control Protocol
      • 网络层:Internet Protocol
      • 网络接口层:Frame / ETHernet

wireshark工具栏介绍

image.png

分别是

  • 开始捕获分组
  • 停止捕获分组
  • 重新开始当前捕获
  • 捕获选项
  • 打开已保存的捕获文件
  • 保存捕获文件
  • 关闭捕获文件
  • 重新加载捕获文件
  • 查找一个分组
  • 转到前一个分组
  • 转到下一个分组
  • 转到指定分组
  • 转到首个分组
  • 转到最新分组
  • 在实时捕获分组时,自动滚动屏幕到最新分组
  • 使用你的着色规则来绘制分组
  • 放大主窗口文本
  • 缩小主窗口文本
  • 窗口文本返回正常大小
  • 调整分组列表已适应内容

wireshark使用技巧

  1. 打开协议分级,大致查看数据包协议情况
  2. 统计选项查看IP连接信息统计

  3. 过滤原则

    • 协议名.字段 比较符号 值