wireshark用法及流量分析知识点

wireshark用法

显示过滤器语法

1.针对ip的过滤

对源地址进行过滤

ip.src == 192.168.0.1

对目的地址进行过滤

ip.dst == 192.168.0.1

对源地址或者目的地址进行过滤

ip.addr == 192.168.0.1

如果想排除以上的数据包，只需要将其用括号囊括，然后使用 "!" 即可

!(ip.addr == 192.168.0.1)

2.针对协议的过滤

获某种协议的数据包，表达式很简单仅仅需要把协议的名字输入即可

http

注意：是否区分大小写？答：区分，只能为小写

捕获多种协议的数据包

http or telnet

排除某种协议的数据包

not arp   或者   !tcp

3.针对端口的过滤（视传输协议而定）

捕获某一端口的数据包（以tcp协议为例）

tcp.port == 80

捕获多端口的数据包，可以使用and来连接，下面是捕获高于某端口的表达式（以udp协议为例）

udp.port >= 2048

4.针对长度和内容的过滤

针对长度的过虑（这里的长度指定的是数据段的长度）

udp.length < 20   
http.content_length <=30

针对uri 内容的过滤

http.request.uri matches "user" (请求的uri中包含"user"关键字的)

注意：matches 后的关键字是不区分大小写的！

http.request.uri contains "User" (请求的uri中包含"user"关键字的)

注意：contains 后的关键字是区分大小写的！

5.针对http请求的一些过滤实例。

过滤出请求地址中包含"user"的请求，不包括域名；

http.request.uri contains "User"

精确过滤域名

http.host==baidu.com

模糊过滤域名

http.host contains "baidu"

过滤请求的content_type类型

http.content_type =="text/html"

过滤http请求方法

http.request.method=="POST"

过滤tcp端口

tcp.port==80
http && tcp.port==80 or tcp.port==5566

过滤http响应状态码

http.response.code==302

过滤含有指定cookie的http数据包

http.cookie contains "userid"

快速过滤常见协议

arp          # ARP 协议
icmp         # ICMP 协议
tcp.port==80 # HTTP 流量
udp.port==53 # DNS 流量
ssl/tls      # 加密流量
dhcp         # DHCP 过程
smtp || pop || imap  # 邮件相关
sip || rtp   # 语音视频
http.request # 仅 HTTP 请求
tcp.flags.syn==1 && tcp.flags.ack==0  # SYN 扫描检测

追踪流

我们的一个完整的数据流一般都是由很多个包组成 的，

查看某条数据包对于的数据流的方法：

右键------>追踪流

然后就会有TCP流、UDP流、SSL流、HTTP流

当你这个数据包是属于哪种流，就可以选择对应的流

当我们选择了追踪流时，会弹出该流的完整数据流。还有这个数据流中包含的数据包。

顶部的过滤器就是该流的过滤规则

专家信息说明

功能：可以对数据包中特定的状态进行警告说明。

错误(errors)

警告(Warnings)

标记(notes)

对话(chats)

菜单栏：分析------>专家信息

数据包的统计分析

1.菜单栏 ：统计一栏中，可以对抓取的数据包进行进一步的分析，

比如抓取的数据包的属性、已解析的地址、协议分级等等

已解析的地址

功能：统计通信流量中已经解析了的地址

菜单栏：统计------>已解析的地址

协议分级

功能：功能：统计通信流量中不同协议占用的百分比

菜单栏：统计->协议分级

统计摘要说明

功能：功能：可以对抓取的数据包进行全局统计，统计出包的一些信息

菜单栏：统计->捕获文件属性

2.数据包分析过程中的一些技巧

大量404请求------>目录扫描

大量 select...from 关键字请求------>SQL注入

连续一个ip的多端口请求或多个ip的几个相同端口请求------>端口扫描

黑客通过爆破账户和密码，则是post请求 http.request.methodPOST
黑客修改文件， ip.addr219.239.105.18 and http.request.uri matches "edit|upload|modify"

如果是用菜刀连接的包，则是post请求 ip.addr219.239.105.18 and http.request.methodPOST

流量分析知识点

常见协议

协议	层级	协议号/端口	核心功能	Wireshark 分析要点	常用于场景
ARP	数据链路层	0x0806	将 IP 地址解析为 MAC 地址	查看 Who has? 和 is at 报文，检测 ARP 欺骗、IP 冲突	局域网通信初始化、排查 IP 冲突、检测 ARP 攻击/欺骗、网关故障诊断
ICMP	网络层	IP 协议号 1	网络诊断与错误报告	Ping 请求/应答、目标不可达、超时分析，追踪网络故障点	网络连通性测试(Ping/Traceroute)、故障排查、路径 MTU 发现、隧道传输(ICMP 隧道攻击)
TCP	传输层	可变端口	面向连接的可靠传输	关注三次握手(SYN-SYN/ACK-ACK)、四次挥手、重传、窗口大小、RST 异常断开	Web 浏览、文件传输、邮件收发、数据库连接、远程登录等所有可靠传输场景
UDP	传输层	可变端口	无连接快速传输	分析丢包、乱序、DNS/DHCP 等基于 UDP 的应用	视频直播、在线游戏、DNS 查询、语音通话、物联网设备通信、实时性优先场景
DNS	应用层	UDP/TCP 53	域名解析	查询类型(A/AAAA/MX/TXT)、响应码(NOERROR/NXDOMAIN)、递归查询过程	网站访问、邮件路由、CDN 调度、负载均衡、恶意域名检测、DNS 劫持排查
HTTP	应用层	TCP 80	超文本传输	请求方法(GET/POST)、状态码、Host 头、Cookie、User-Agent、明文传输风险	网页浏览、REST API 调用、移动 App 数据交互、爬虫行为分析、明文敏感信息泄露检测
FTP	应用层	TCP 20/21	文件传输	控制连接(21)与数据连接(20)分离，明文传输用户名密码，被动/主动模式	服务器文件上传下载、网站维护、旧式文件共享系统、明文凭证审计
HTTPS	应用层	TCP 443	加密 HTTP	TLS/SSL 握手、证书交换、加密套件协商，需导入私钥才能解密内容	网上银行、电商交易、隐私数据传输、现代 Web 应用、API 安全通信
DHCP	应用层	UDP 67/68	动态 IP 分配	DORA 过程(Discover-Offer-Request-Ack)、租约时间、选项参数	企业办公网自动配置、公共 WiFi 接入、IP 地址统一管理、BYOD 设备入网
SMTP	应用层	TCP 25/587/465	邮件发送	命令序列(HELO/MAIL FROM/RCPT TO/DATA)、Base64 编码内容、认证过程	企业邮件服务器、邮件营销系统、自动化报警通知、邮件伪造/垃圾邮件溯源
POP3	应用层	TCP 110/995	邮件接收	认证、LIST/RETR/DELE 命令，明文传输(110)或 SSL(995)	个人邮件客户端收取邮件、离线邮件阅读、旧式邮件系统兼容
IMAP	应用层	TCP 143/993	邮件访问	同步文件夹结构、SEARCH/FETCH 命令，支持 SSL(993)	多设备邮件同步、企业邮箱、Webmail 后台协议、邮件归档管理
SSH	应用层	TCP 22	安全远程登录	密钥交换、加密算法协商、会话建立，内容加密不可读	Linux 服务器管理、Git 代码仓库操作、安全隧道(SOCKS 代理)、SFTP 文件传输
Telnet	应用层	TCP 23	远程登录(明文)	明文传输用户名密码，已被 SSH 取代，用于教学演示	旧设备维护(交换机/路由器)、网络设备调试、协议学习演示、安全风险审计
SNMP	应用层	UDP 161/162	网络管理	MIB 对象标识符、Get/Set/Trap 操作，监控设备状态	网络设备监控(Zabbix/Nagios)、服务器性能采集、故障告警通知、拓扑发现
SMB/CIFS	应用层	TCP 445	文件/打印机共享	Windows 共享协议、NTLM 认证、管道通信、勒索病毒常利用	Windows 文件共享、打印机共享、域控登录、勒索病毒横向移动、IPC$ 攻击
NFS	应用层	TCP/UDP 2049	网络文件系统	Unix/Linux 文件共享，RPC 调用、文件句柄操作	Linux/Unix 服务器文件共享、集群存储、VMware 虚拟化环境、NAS 设备
LDAP	应用层	TCP 389/636	目录服务	查询用户/组信息、认证，Active Directory 基础协议	企业 AD 域认证、统一身份管理、邮件地址簿、VPN 用户验证、权限查询
RDP	应用层	TCP 3389	远程桌面	微软远程桌面协议、加密传输、虚拟通道	Windows 服务器远程管理、云桌面(VDI)、远程办公、暴力破解攻击检测
SIP	应用层	UDP/TCP 5060	会话初始协议(VoIP)	呼叫建立、修改、终止，INVITE/ACK/BYE 方法	IP 电话系统、视频会议、软电话(如 Zoiper)、呼叫中心、运营商 IMS 网络
RTP	传输层	UDP 动态端口	实时传输协议	承载语音/视频流，时间戳、序列号、负载类型分析	VoIP 语音通话、视频会议、直播推流、监控摄像头音视频传输
RTCP	传输层	UDP 端口+1	RTP 控制协议	传输质量反馈、丢包统计、抖动信息	通话质量监控(QoS)、网络状况自适应码率调整、故障排查
TLS/SSL	会话层	-	传输层安全	握手协议、证书链验证、密码套件、主密钥交换	所有加密通信(HTTPS/SMTPS/IMAPS 等)、VPN、安全支付、弱加密算法检测
IPv4/IPv6	网络层	-	网络层寻址	TTL、分片、选项字段、源/目的地址分析	所有 IP 网络通信基础、路由规划、地址分配、双栈过渡、IP 伪造攻击
VLAN (802.1Q)	数据链路层	0x8100	虚拟局域网	VLAN ID 标记、优先级字段、Trunk 链路分析	企业网络部门隔离、访客网络分离、VoIP 优先传输、数据中心多租户
STP	数据链路层	-	生成树协议	防止环路、根桥选举、端口状态变化	交换机冗余链路、防止广播风暴、链路故障自动切换、拓扑变化攻击
LLC	数据链路层	-	逻辑链路控制	SAP 地址、无连接/面向连接服务	早期以太网、WiFi 数据链路层、工业控制网络、兼容旧设备
PPP	数据链路层	-	点对点连接	认证(PAP/CHAP)、链路建立、网络层协议协商	ADSL 宽带拨号、PPTP VPN、串口直连、3G/4G 拨号上网
OSPF	网络层	IP 协议号 89	开放最短路径优先	邻居发现、LSA 泛洪、区域划分、路由计算	大型企业网内部路由、园区网、数据中心 Underlay 路由、路由震荡排查
BGP	应用层	TCP 179	边界网关协议	路径属性、路由策略、AS 路径、邻居状态机	运营商骨干网、多出口企业网、数据中心互联(DCI)、云服务商互联、路由劫持检测
VRRP	网络层	IP 协议号 112	虚拟路由冗余	主备网关切换、优先级选举、心跳检测	企业网关高可用、双机热备、负载均衡器冗余、主备切换故障排查
NTP	应用层	UDP 123	网络时间同步	时间戳字段、Stratum 层级、时钟偏移计算	服务器时间同步、日志一致性、证书有效期验证、金融交易系统、NTP 放大攻击
Syslog	应用层	UDP 514	系统日志传输	日志级别、Facility、消息内容，集中日志收集	安全设备日志集中、服务器审计日志、SIEM 系统数据源、故障溯源
Kerberos	应用层	UDP/TCP 88	网络认证协议	票据授予(TGT)、服务票据、AS/TS 请求	Windows 域登录、Hadoop 安全认证、大数据平台单点登录、票据伪造攻击(Golden Ticket)
NBNS/WINS	应用层	UDP 137	NetBIOS 名称服务	Windows 名称解析、广播查询	旧版 Windows 网络邻居、局域网主机发现、LLMNR/NBT-NS 欺骗攻击
SSDP	应用层	UDP 1900	简单服务发现	UPnP 设备发现，常用于物联网设备	智能电视投屏、网络摄像头发现、路由器 UPnP 配置、SSDP 放大攻击
mDNS	应用层	UDP 5353	多播 DNS	本地网络服务发现，Apple Bonjour 使用	AirDrop 文件传输、打印机自动发现、Chromecast 投屏、智能家居设备配对
LLMNR	应用层	UDP 5355	链路本地多播	Windows 备用名称解析，无 DNS 服务器时使用	Windows 内网名称解析、DNS 故障降级、Responder 攻击/内网凭证窃取
Modbus	应用层	TCP 502	工业控制协议	功能码、寄存器读写，SCADA 系统常用	工厂自动化、电力监控、楼宇自控、工控安全审计、异常指令检测
CoAP	应用层	UDP 5683	受限应用协议	物联网轻量级协议，类似 HTTP 的二进制版本	低功耗传感器、智能电表、NB-IoT 设备、资源受限嵌入式系统
MQTT	应用层	TCP 1883/8883	消息队列遥测	发布/订阅模式、QoS 等级、KeepAlive，物联网常用	智能家居(小米/涂鸦)、工业物联网、车联网、即时通讯后端、未授权订阅攻击