WireShark入门指南：从基础到专业技巧

WireShark是一款功能强大的网络封包分析工具，用于深入分析网络数据包。其在捕获数据包的同时，还提供了强大的数据分析功能，使其成为网络安全和调试的利器。

需要特别注意的是，虽然WireShark可以捕获HTTP相关的数据，例如账号和密码等信息，但对于HTTPS的数据包则无法解密，因此无法查看其中的内容。

运行程序

WireShark已经默认安装在Kali Linux中，并可通过开始菜单轻松启动。启动后，用户可以双击选择目标网卡，进入程序界面。默认情况下，WireShark将处于抓包状态。

窗口介绍

在WireShark中，使用过滤器是非常重要的。由于抓包时可能产生大量冗余信息，过滤器可以帮助用户快速找到所需部分。

常见过滤器示例

• MAC地址过滤： eth.addr == 00:0c:29:c6:27:59
• 
• 源MAC地址筛选： eth.src==00:0c:29:c6:27:59
• 目的MAC地址筛选： eth.dst==00:0c:29:c6:27:59
• IP地址过滤：
• 
  • ip.addr==192.168.123.1
  • ip.src==192.168.123.1
  • ip.dst==192.168.123.1
• 端口过滤：
• 
  • tcp.port==80
  • tcp.dstport==80
  • tcp.srcport==80
  • udp.port==8888
  • udp.srcport==8888
  • udp.dstport==8888
• 协议筛选： http
• 

封包详情

WireShark捕获的数据包包含多个层级信息：

• Frame： 物理层的数据帧概况
• Ethernet II： 数据链路层以太网帧头部信息
• Internet Protocol Version 4： 互联网层IP包头部信息
• Transmission Control Protocol： 传输层的数据段头部信息（如TCP）
• Hypertext Transfer Protocol： 应用层的信息（如HTTP协议）

WireShark实战

WireShark的实际应用涵盖了多个方面，包括网络安全、调试和网络流量分析等。对于更多实战案例，可以参考以下文章：

• 《防诈指南之获取微信好友IP》
• 《Wireshark从入门到放弃之如何分析别人浏览的图片》
• 《大表哥教你怎样勾搭隔壁新搬来的妹纸》