Kali Linux自带Wireshark工具使用介绍:
1.进入界面
这里Lua脚本报错,无需关注
开始使用:
双击第一个eth0:以太网0,开始抓包:
点击上边的这个按钮可以设置:
这里注意:需要选择混杂模式,获取机器所有以太网连接包
作用:不发送给当前IP的数据包也会抓取
同时我们观察到,下边这个捕获过滤器,这个有什么用呢?
通常我们抓获的数据包都有很多,这里的过滤器作用就是过滤得到我们需要的数据包。
使用方式:
点击绿色按钮再管理界面:
在这里就可以设置各种,可以按需求自己按照格式书写,点击加号新建:
好的,我们选择抓本机的包:192.168.87.132:
点击开始,然而,并没有反应
我们ping 一下其他IP
这时候打开wireshark,发现有数据了
抓取到的这些数据包可以保存下来,以后看,点击文件中的保存即可
我们还可以在编辑的首选项中设置适合自己的布局、在列中设置每一列需要显示的内容(通常默认设置足以满足我们的需求):
好的,刚才我们设置的是抓包筛选器(总闸)
接下来看看显示筛选器:对抓取到的数据包进行筛选
我们实际使用的其实通常是显示筛选器:
比如这里我们只需要ARP协议:
可以手动输入,也可以自动:
比如我只看192.168.1.1的:
选中后,它会自动生成匹配规则:
也可以多选一些,多种组合:
可以查看抓取包的详细信息,以一个ARP协议包为例:
看一个TCP协议包:
我们发现这里为1,说明这个包是TCP协议的ACK数据包
简单介绍下TCP协议:
在客户机和服务器之间建立正常的TCP网络连接时
客户机首先发出一个SYN消息
服务器使用SYN+ACK应答表示接收到了这个消息
最后客户机再以ACK消息响应
这样在客户机和服务器之间才能建立起可靠的TCP连接
再看一个DNS协议:
这是一个查询的DNS数据包: