Wireshark入门指南

大家好，我是John Strand，在这个视频中，我们将开始学习Wireshark。

Wireshark与TCPDump非常相似，事实上，很多人更喜欢Wireshark而不是TCPDump，但我将它们视为两种完全不同的工具。TCPDump非常适合创建脚本、在系统上进行大规模数据包捕获，而Wireshark则更适合通过完整的GUI界面进行系统分析。

让我们开始吧。我们再次使用Security Onion，因为它在网络取证方面非常出色。再次感谢Doug Burks及其团队。

我们可以进入应用程序，选择互联网，然后选择Wireshark。进入Wireshark后，它可以列出系统上的所有接口。这再次与我们在TCPDump视频中使用-D选项时看到的情况非常相似。我可以选择任何接口，它会弹出并提示“需要以root权限运行”。

因此，我将执行sudo wireshark，它会要求我输入密码。当我们首次进入Wireshark时，您将能够看到所有接口。

在这里，如果放大，您可以看到ens33正在发送一些流量。

我可以双击它，它会自动开始嗅探该特定接口。目前没有太多活动，但如果我启动另一个终端，我可以再次ping 8.8.8.8，然后当我们返回Wireshark时，您实际上可以看到那些ICMP echo请求通过。能够再次看到您的流量非常方便。

Wireshark的另一个功能是，如果您选择任何数据包，它会分解实际的十六进制解码或hacks，如果您突出显示某些部分并单击hacks内的部分，它将在中间窗口中解码该内容。

让我们放大一点。如果您选择此部分，它会说这是单播地址，您可以看到这是VMware中的A和Mac地址。如果我向下滚动到底部，这是实际发送的有效载荷。在大多数Linux系统上，ICMP echo请求和回复将发送一个有效载荷为0 1 2 3 4 5 6 7的ICMP echo请求。

这很酷。

现在，让我们实际打开一个文件。我将通过单击停止按钮停止嗅探，然后转到文件、打开、最近，并打开实际的pcap backdoor。我将继续而不保存。这是一个来自受感染计算机系统的数据包捕获，这将使我能够深入了解一些我可以使用Wireshark做的酷事。

如果我选择任何一个数据包，数据包在大多数通信中并不一定存在，它只是一个单独的东西。一些协议如UDP和ICMP是非常无状态的。然而，大多数TCP协议是有状态的。

因此，我将发送一个数据包到一个系统，它将响应。这将是一个对话。我可以右键单击任何这些不同的数据包，并实际应用过滤器。我可以应用对话过滤器，或者查看各个流本身。

我将执行“Follow TCP Stream”，这将给我这两个系统之间的实际通信，并以一种易于理解的方式显示它。

这是明文HTTP，如果是加密的，您将看到加密数据。但您可以看到，在这两个系统之间的HTTP请求中，发送的是一个带有后门实际命令和控制数据的GET请求，然后返回了一个HTTP OK响应。当我应用它时，您可以看到每个流都有数字值，在这种情况下，Wireshark说“我希望您只查看流等于0”。我可以通过单击这里的小x来清除它。

接下来，我可以查看数据包捕获中的一些非常酷的统计信息。我可以执行统计，然后查看在此特定数据包捕获中通信的所有端点。这使我在进行威胁狩猎或故障排除时，能够确保我正在寻找的IP地址实际上也在此通信捕获文件中。

我还可以查看统计信息，并实际查看对话，这些不同IP地址之间发送了多少数据。

因此，地址A是什么，使用的端口是什么，该系统实际在与谁通信？发送了多少数据包，以及发送了多少数据？这将使您能够专注于网络上的主要通信者。

最后，您可以查看统计信息，并查看协议层次结构。

协议层次结构将实际分解此特定数据包捕获中使用的实际协议。在这种情况下，您可以看到我们有以太网、IPv4、一些NetBIOS流量，但也有一些TCP和HTTP流量。

您这样做的原因，老实说，是因为如果您试图分解数据包捕获并理解一个系统或一系列系统在做什么，退一步说“好的，谁在与谁通信”，然后深入到您希望与之通信的特定IP地址，这真的很有帮助。

最后，您可以执行统计，并实际查看HTTP对话，这将显示发送到计算机的HTTP请求。

这只是Wireshark的快速概述，再次强调，它并不详尽，但这绝对是从未使用过Wireshark的人的一个起点。我们再次使用Security Onion，因为我们非常喜欢那个发行版及其所做的一切，因为所有这些工具都是内置的，是的，您也可以为Mac和Windows获取Wireshark。期待在下一个视频中见到您！