当前位置：首页 > news >正文

渗透测试（12）- WireShark 网络数据包分析

news 2025/9/17 9:50:53

1、WireShack 简介

2、WireShark 基本使用方法

3、 WireShack 抓包分析

3.1 Hypertext Transfer Protocol (应用层)

3.2 Transmission Control Protocol (传输层)

3.3 Internet Protocol Version 4(网络层)

3.4 Ethernet Il (链路层): 数据链路层以太网头部信息

3.5 Frame(物理层)

1、WireShack 简介

Wireshark 是一个免费开源的网络数据包分析软件。网络数据包分析软件的功能是截取互联网传输的网络数据包，并尽可能显示出最为详细的网络数据包数据。

2、WireShark 基本使用方法

2.1 启动wireshark

在之前安装的kali下，已经预装了wireshark,点击启动

2.2 选择监听网卡，双击即可

2.3 混杂模式下对网络造成的影响较大，所以选择关闭混杂模式（暂停捕获后，点击捕获选项卡，点击）

混杂模式表示接收所有经过该网卡的数据包，即使不是发给该设备的数据包也被抓取

2.4 保存文件

注意: 保存文件格式选 pcap ,这个格式基本所有的抓包软件都能打开，兼容性最好;

2.5 WireShack 筛选器

例如：筛选抓取的http包，输入http，回车即可，如果要清除筛选条件，点击筛选框右侧的X号

筛选TCP、UDP、icmp、dns方法一样

根据ip地址筛选

筛选源地址

ip.src host == 192.168.3.67 or ip.src host == 192.168.1.1

ip.src host == 192.168.3.67 表示源 IP 地址

ip.dst host == 192.168.3.28 表示目的地址

注:两个条件用 or 进行了连接，是或的意思;当然我们也可以使用 and

or 的意思是两个条件满足一个就行

and 的意思是两个条件必须同时满足

2.6 从上几个图中可以看到，时间列显示的时间看不懂，可以更改下时间格式

3、 WireShack 抓包分析

在目标资产主动信息收集篇章中，介绍了TCP/IP五层模型，通过wireshark抓包分析，可以直观的看到五层模型的工作过程。

先简单回顾一下五层模型：

物理层----数据链路层----网络层---传输层----应用层

(1)Frame(物理层): 物理层的数据顿概况

(2) Ethernet Il (链路层): 数据链路层以太网头部信息

(3)Internet Protocol Version 4(网络层): 互联网层 IP 包头部信息

(4)Transmission Control Protocol (传输层): 传输层 T 的数据段头部信息，此处是 TCP

(5)Hypertext Transfer Protocol (应用层):应用层的信息，此处是 HTTP 协议

3.1 Hypertext Transfer Protocol (应用层)

http (超文本传输协议)是一个基于请求与响应模式的、无状态的、应用层的协议，访问物理机 http://192.168.3.38/dvwa 时抓获的包直接过滤出 http 协议的包，如果想看到在访问之前的三手握手包，可以过滤 tcp，因为 http连接在访问前需要建立 TCP 会话。

请求包：192.168.3.67请求192.168.3.38

GET/HTTP/1.1#头部相关信息，HTTP 协议 11 版本

Request Method: GET#请求方法为头部信息

Request URL: /#表示请求资源为网站的根目录(可以理解为首页)

Request Version: HTTP/1.1 #表示 HTTP 协议 11 版本

Host:192.168.3.38#表示请求主机名称

User-Agent: Mozilla #表示用户使用的访问工具及版本

响应包：192.168.3.38 响应 192.168.3.67

HTTP/1.1 200 0K # 表示 HTTP 协议 1.1 版本，状态 200 ，表示 OK

Status Code: 200 # 响应的状态码， 200 表示正常

Response Phrase: OK # 表示响应短语 OK

Server: apache/2.4.39 # 服务器程序及版本信息

Content-Type: text/html # 内容类型

3.2 Transmission Control Protocol (传输层)

请求包：192.168.3.67请求192.168.3.38

source port :源端口，即本机端口，这个端口是随机分配的。

Destination port:目的端口，这个端口是固定的，80是http协议，443是https协议

响应包：192.168.3.38 响应 192.168.3.67

从响应包可以发现，源端口和目的端口正好换了位置，响应时候，会根据发起方随机分配的端口进行交互。

3.3 Internet Protocol Version 4(网络层)

先看请求包的信息

再看响应包

从请求包和响应包分析，重点先关注源地址和目的地址。

3.4 Ethernet Il (链路层): 数据链路层以太网头部信息

3.5 Frame(物理层)

物理层是 OSI 的第一层，它虽然处于最底层，却是整个开放系统的基础。物理层为设备之间的数据通信提供传输媒体及互连设备，为数据传输提供可靠的环境。简单记忆，那就是“ 信号和介质 ”，但是重点在信号，物理设备其实不在TCP/IP协议范围内，但物理层理解为包括物理设备，有助于更好的理解物理层的作用，因为信号传输需要介质，记住了物理设备，那也就记住了了物理设备的作用是传输信号的。

总结：以上通过wireshark抓包简单梳理了下TCP/IP五层协议的工作流程，TCP/IP协议是非常复杂的，通过本篇文章，旨在理解每一层的主要工作内容（从渗透角度），应用层建立连接，传输层是添加端口，网络层是增加IP地址，链路层是添加MAC地址，物理层是信号传输。

渗透测试（12）- WireShark 网络数据包分析

1、WireShack 简介

2、WireShark 基本使用方法

3、 WireShack 抓包分析

3.1 Hypertext Transfer Protocol (应用层)

3.2 Transmission Control Protocol (传输层)

3.3 Internet Protocol Version 4(网络层)

3.4 Ethernet Il (链路层): 数据链路层以太网头部信息

3.5 Frame(物理层)

相关文章：

渗透测试（12）- WireShark 网络数据包分析

XSS_Labs靶场通关笔记

基于本地缓存制作一个分库分表的分布式ID生成器

美易平台：金融市场的晴雨表与创新服务的融合

文旅项目包括什么?

Pointnet++改进优化器系列：全网首发AdamW优化器 |即插即用，实现有效涨点

stm32 FOC 电机介绍

【Linux】进程通信——管道

3d gaussian splatting笔记（paper部分翻译）

TCP 三次握手以及滑动窗口

Vue3 Cli5按需导入ElementPlus

playwright自动化项目搭建

mysql字符集

Elasticsearch：聊天机器人、人工智能和人力资源：电信公司和企业组织的成功组合

[AIGC大数据基础] Flink: 大数据流处理的未来

数据结构之线性表(一般的线性表)

uniapp安卓android离线打包本地打包整理

vmware安装centos8-stream

使用HttpServletRequestWrapper解决web项目request数据流无法重复读取的问题

从CNN ,LSTM 到Transformer的综述

华为云AI开发平台ModelArts

在软件开发中正确使用MySQL日期时间类型的深度解析

大数据学习栈记——Neo4j的安装与使用

大型活动交通拥堵治理的视觉算法应用

定时器任务——若依源码分析

Axios请求超时重发机制

UR 协作机器人「三剑客」：精密轻量担当（UR7e）、全能协作主力（UR12e）、重型任务专家（UR15）

如何在最短时间内提升打ctf（web)的水平？

推荐 github 项目:GeminiImageApp(图片生成方向，可以做一定的素材)

基于SpringBoot在线拍卖系统的设计和实现