从 1 个 Wireshark 开始

你好。
不小心 echo "" > /etc/passwd 这是系统解决方案部门的 Kawa。

这次想写的是Wireshark，它是我在之前的
网络工具顺便说一句，我最喜欢的鲨鱼电影《深蓝》 。

什么是 Wireshark？

是一款著名的工具，可以说是网络工程师的必备工具。
它与 Windows 和 macOS 兼容，基本上允许您在已安装的 PC 上捕获数据包并极其轻松地将其可视化。
它通常用于网络调查，例如故障排除。

下载并安装

官网（ https://www.wireshark.org/ 的“下载”中点击对应操作系统的文件名

下载后，打开可执行文件，然后根据安装程序说明按“下一步”。

（以上几项默认基本就可以了）

安装完成后，打开Wireshark，如果出现以下界面则表示安装完成。

双击有波形的网络适配器，查看主要连接接口的捕获。

如何在 Windows 上查看捕获的数据

当您选择一个接口时，捕获的入站/出站数据包将立即流动（IP等信息模糊）⬇。

这到底是什么？

尝试从命令提示符向我们的网站 (beyondjapan.com) 发送 ping。

> ping Beyondjapan.com

在顶部的搜索窗口中输入“icmp”，然后按 Enter 键。

仅对 ping 结果进行排序，您将能够检查发往我们主页的 ICMP 数据包。

您可以通过右键单击底部的字符串并选择“全部展开”来检查数据包的内容。

橙色部分：源/目的地址、路由器型号和 MAC 地址等
绿色部分：IP 版本（本例中为 v4 和报头长度）
粉色部分：标志、TTL 和协议
红色部分：ICMP 类型和校验和

这次是ICMP，所以不能说信息量很大，但是只要数据包不加密，就可以看到payload等详细数据（严禁误用）。

顺便说一句，如果您查看著名的阿部浩 (Hiroshi Abe) 的 http 站点，您会看到 Morobarrel。

橙色部分：请求方法和HTTP版本
绿色部分：主机信息、浏览器用户代理信息、语言、referrer等
粉色部分：访问URL、与一系列访问相关的帧号

对于 http 站点，您需要特别注意的您在表单中输入的信息。
如果您以未加密状态向表单发送密码等，则密码字符串将从数据包捕获中可见。
（这就是为什么连接到杂散 Wi-Fi 不是一个好主意的原因）

关于过滤器的一切

使用 Wireshark 描述进行搜索。
这次我将介绍一下经常使用的符号。由于它可以用多种方式编写，例如正则表达式，因此它还可以用于对与 API 的交互进行故障排除。

・按IP地址过滤

ip.addr == xx.xx.xx.xx !(ip.addr==xx.xx.xx.xx) #排除特定IP

尝试向“1.1.1.1”发送 ping 并搜索结果。

您可以查看 ping 请求 → 回复的交换情况。

・按端口号过滤

tcp.port == xx udp.port == xx tcp.port == xx || udp.port == xx #用 or 多次搜索 !(tcp.port == xx) #排除特定端口 !(tcp.port = =xx) && ip.addr==xx.xx.xx.xx #和条件

让我们尝试检查 TCP/443 通信。

如果检查IP，则可以在执行Google搜索时检查流程。
如果你看“Info”部分和标志部分的解释，你可以看到TCP握手交换（ACK、FIN等）。

Linux机器上的抓包

如果您的PC安装了Wireshark，则可以查看Linux机器上获取的抓包文件。

这次我们将使用
之前介绍过的tcpdump （请提前使用yum或apt安装tcpdump）

在本文中，我们将使用Ubuntu创建任意文件并输出捕获的数据。
将其写入名为“test.pcap”的文件（pcap 是数据包捕获文件的扩展名）。
*使用ifconfig等检查并指定互联网上缺少的接口名称。

> tcpdump -i ens33 -w test.pcap

捕获将继续，直到您取消它，因此您想要检查的任何通信都将在捕获期间发生（浏览器访问等）。
使用“Ctl+C”终止 tcpdump 并将输出文件移动到 Windows/macOS 计算机。
使用 Wireshark 打开提取的 pcap 文件以可视化捕获的数据。

↑我能够想象到一个美丽的圣诞扫描包（如果你是好女孩，请不要模仿它）。

Wireshark 的优势在于，任何人都可以轻松捕获数据包流（如果他们知道如何读取数据包）。

除了您使用的PC之外，如果您设置交换机并准备镜像端口，则可以捕获本地网络内流动的所有数据包，因此该软件经常在现场使用。
请尝试安装它，因为它将帮助您了解 TCP/IP。