[大阪/横滨/德岛] 寻找基础设施/服务器端工程师!

[大阪/横滨/德岛] 寻找基础设施/服务器端工程师!

【超过500家企业部署】AWS搭建、运维、监控服务

【超过500家企业部署】AWS搭建、运维、监控服务

【CentOS的后继者】AlmaLinux OS服务器搭建/迁移服务

【CentOS的后继者】AlmaLinux OS服务器搭建/迁移服务

[仅适用于 WordPress] 云服务器“Web Speed”

[仅适用于 WordPress] 云服务器“Web Speed”

[便宜]网站安全自动诊断“快速扫描仪”

[便宜]网站安全自动诊断“快速扫描仪”

[预约系统开发] EDISONE定制开发服务

[预约系统开发] EDISONE定制开发服务

[注册100个URL 0日元] 网站监控服务“Appmill”

[注册100个URL 0日元] 网站监控服务“Appmill”

【兼容200多个国家】全球eSIM“超越SIM”

【兼容200多个国家】全球eSIM“超越SIM”

[如果您在中国旅行、出差或驻扎]中国SIM服务“Choco SIM”

[如果您在中国旅行、出差或驻扎]中国SIM服务“Choco SIM”

【全球专属服务】Beyond北美及中国MSP

【全球专属服务】Beyond北美及中国MSP

[YouTube]超越官方频道“美由丸频道”

[YouTube]超越官方频道“美由丸频道”

从 1 个 Wireshark 开始

你好。
不小心 echo "" > /etc/passwd 这是系统解决方案部门的 Kawa。

这次想写的是Wireshark,它是我在之前的
网络工具顺便说一句,我最喜欢的鲨鱼电影《深蓝》

什么是 Wireshark?

是一款著名的工具,可以说是网络工程师的必备工具。
它与 Windows 和 macOS 兼容,基本上允许您在已安装的 PC 上捕获数据包并极其轻松地将其可视化。
它通常用于网络调查,例如故障排除。

下载并安装

官网( https://www.wireshark.org/ 的“下载”中点击对应操作系统的文件名

下载后,打开可执行文件,然后根据安装程序说明按“下一步”。

(以上几项默认基本就可以了)

安装完成后,打开Wireshark,如果出现以下界面则表示安装完成。

双击有波形的网络适配器,查看主要连接接口的捕获。

如何在 Windows 上查看捕获的数据

当您选择一个接口时,捕获的入站/出站数据包将立即流动(IP等信息模糊)⬇。

这到底是什么?

尝试从命令提示符向我们的网站 (beyondjapan.com) 发送 ping。

> ping Beyondjapan.com

在顶部的搜索窗口中输入“icmp”,然后按 Enter 键。

仅对 ping 结果进行排序,您将能够检查发往我们主页的 ICMP 数据包。

您可以通过右键单击底部的字符串并选择“全部展开”来检查数据包的内容。

橙色部分:源/目的地址、路由器型号和 MAC 地址等
绿色部分:IP 版本(本例中为 v4 和报头长度)
粉色部分:标志、TTL 和协议
红色部分:ICMP 类型和校验和

这次是ICMP,所以不能说信息量很大,但是只要数据包不加密,就可以看到payload等详细数据(严禁误用)。

顺便说一句,如果您查看著名的阿部浩 (Hiroshi Abe) 的 http 站点,您会看到 Morobarrel。

橙色部分:请求方法和HTTP版本
绿色部分:主机信息、浏览器用户代理信息、语言、referrer等
粉色部分:访问URL、与一系列访问相关的帧号

对于 http 站点,您需要特别注意的您在表单中输入的信息
如果您以未加密状态向表单发送密码等,则密码字符串将从数据包捕获中可见。
(这就是为什么连接到杂散 Wi-Fi 不是一个好主意的原因)

关于过滤器的一切

使用 Wireshark 描述进行搜索。
这次我将介绍一下经常使用的符号。由于它可以用多种方式编写,例如正则表达式,因此它还可以用于对与 API 的交互进行故障排除。

・按IP地址过滤

ip.addr == xx.xx.xx.xx !(ip.addr==xx.xx.xx.xx) #排除特定IP

尝试向“1.1.1.1”发送 ping 并搜索结果。

您可以查看 ping 请求 → 回复的交换情况。

・按端口号过滤

tcp.port == xx udp.port == xx tcp.port == xx || udp.port == xx #用 or 多次搜索 !(tcp.port == xx) #排除特定端口 !(tcp.port = =xx) && ip.addr==xx.xx.xx.xx #和条件

让我们尝试检查 TCP/443 通信。

如果检查IP,则可以在执行Google搜索时检查流程。
如果你看“Info”部分和标志部分的解释,你可以看到TCP握手交换(ACK、FIN等)。

Linux机器上的抓包

如果您的PC安装了Wireshark,则可以查看Linux机器上获取的抓包文件。

这次我们将使用
之前介绍过的tcpdump (请提前使用yum或apt安装tcpdump)

在本文中,我们将使用Ubuntu创建任意文件并输出捕获的数据。
将其写入名为“test.pcap”的文件(pcap 是数据包捕获文件的扩展名)。
*使用ifconfig等检查并指定互联网上缺少的接口名称。

> tcpdump -i ens33 -w test.pcap

捕获将继续,直到您取消它,因此您想要检查的任何通信都将在捕获期间发生(浏览器访问等)。
使用“Ctl+C”终止 tcpdump 并将输出文件移动到 Windows/macOS 计算机。
使用 Wireshark 打开提取的 pcap 文件以可视化捕获的数据。

↑我能够想象到一个美丽的圣诞扫描包(如果你是好女孩,请不要模仿它)。

Wireshark 的优势在于,任何人都可以轻松捕获数据包流(如果他们知道如何读取数据包)。

除了您使用的PC之外,如果您设置交换机并准备镜像端口,则可以捕获本地网络内流动的所有数据包,因此该软件经常在现场使用。
请尝试安装它,因为它将帮助您了解 TCP/IP。

如果您觉得这篇文章有帮助,请点赞!
10
加载中...
10 票,平均:1.00 / 110
1,272
X Facebook 哈特纳书签 口袋
[2025.6.30 Amazon Linux 2 支持结束] Amazon Linux 服务器迁移解决方案

[2025.6.30 Amazon Linux 2 支持结束] Amazon Linux 服务器迁移解决方案

写这篇文章的人

关于作者

川健

属于系统解决方案部的
好奇的 Poke○n