抓包工具之wireshark安装和使用

Posted 2021-11-08 浪子吴天

一、工具简介

  Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。Wireshark是世界上最重要和广泛使用的网络协议分析器。它让您可以在微观层面上看到网络上发生的事情，Wireshark具有丰富的功能集，其中包括以下内容：

• 深入检查数百个协议，并不断添加更多协议
• 实时捕获和离线分析
• 标准三窗格数据包浏览器
• 多平台：在 Windows、Linux、macOS、Solaris、FreeBSD、NetBSD 和许多其他平台上运行
• 可以通过 GUI 或通过 TTY 模式的 TShark 实用程序浏览捕获的网络数据
• 业内最强大的显示过滤器
• 丰富的VoIP分析
• 读取/写入许多不同的捕获文件格式：tcpdump (libpcap)、Pcap NG、Catapult DCT2000、Cisco Secure IDS iplog、Microsoft Network Monitor、Network General Sniffer®（压缩和未压缩）、Sniffer® Pro 和 NetXray®、Network Instruments Observer , NetScreen snoop, Novell LANalyzer, RADCOM WAN/LAN Analyzer, Shomiti/Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets EtherPeek/TokenPeek/AiroPeek 等使用 gzip 压缩的捕获文件可以即时解压缩
• 可以从以太网、IEEE 802.11、PPP/HDLC、ATM、蓝牙、USB、令牌环、帧中继、FDDI 等（取决于您的平台）读取实时数据
• 对许多协议的解密支持，包括 IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP 和 WPA/WPA2
• 可将着色规则应用于数据包列表，以进行快速、直观的分析
• 输出可以导出为 XML、PostScript®、CSV 或纯文本

二、安装步骤

1、官网下载软件包

  官网下载最新稳定版的软件包，根据系统环境选择对应的版本，博文发布时最新稳定版为3.4.9。wireshark下载地址。

2、双机exe安装程序开始安装

  双机exe程序后开始安装，安装步骤说明仅针对重要步骤或者选项步骤进行说明，安装过程中如果是未截图说明的安装安装提示点击即可。

3、选择安装组件

4、设置安装后的启动快捷方式

5、配置安装位置

6、选择安装npcap网络抓包工具

7、选择安装USB流量抓包工具

8、npcap安装选项选择

9、安装完成

安装完成后需要重启系统。

三、使用说明

1、选择待抓包的网卡

2、启停抓包功能

3、过滤指定的包

在捕获过滤器栏内输入过滤规则，更多的过滤规则使用说明见抓包工具之wireshark常用过滤表达式

4、查看数据包

四、wireshark解密https流量

方法一、导入网站服务器私钥

  此方面配置简单，因为需要网站私钥，仅适用于分析自己的网站流量。

方法二、通过浏览器的 SSL 日志功能

  目前该方案只支持Chrome和Firefox浏览器，通过设置SSLKEYLOGFILE环境变量，可以指定浏览器在访问SSL/TLS网站时将对应的密钥保存到本地文件中，有了这个日志文件之后wireshake就可以将报文进行解密了。

• 设置系统环境变量
  
• wireshark下设置指定TLS key文件
  
• 抓取https包测试
  测试结果为启动抓包后就卡死，软件为未响应状态，博主暂未找到原因，有知道的大神请还望不吝赐教。
  
  如果需要抓包https的同学，可以参照博文抓包工具之Fiddler的安装和使用，可以抓取https流量包，使用的是中间代理的模式。