1.wireshake简介

Wireshark是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

2.过滤器

捕捉过滤器

实时监控某一设备的流量情况

显示过滤器

用于显示某一个现成的流量包文件的流量数据

3.显示过滤器语法实例

按协议进行过滤：

snmp||dns||icmp
# 显示snmp或dns或icmp封包

按协议的属性进行过滤：

ip.addr==10.1.1.1
# 显示来源或目的IP地址为10.1.1.1的封包
ip.src == 10.230.0.0/16
# 显示来自10.230网段的封包
ip.dst==192.168.1.104
# 显示目标地址为192.168.1.104的数据包列表
tcp.port == 25
# 显示来源或目的TCP端口号为25封包
tcp.dstport == 25
# 显示目的端口号为25的封包
tcp.srcport == 80
# TCP协议的源主机端口为80的数据包列表
http.request.method==GET
# 显示get请求的http封包
http.host == "aaa.com"
# 显示请求的域名为aaa.com的http封包
tcp.flags
# 显示包含TCP标志的封包
tcp.flags.syn==0x02
# 显示包含TCPSYN标志的封包

内容过滤语法：

tcp contains "http"
# 显示payload中包含"http"字符串的tcp封包
http.request.uri contains online
# 请求的url包含online的http封包

4.追踪TCP流

右击某个包—追踪流—TCP流

显示：（可以更换流找到与flag有关的信息）

5.CTF 流量做题步骤

• 包里SMTP服务（登录服务）直接存在简单加密密码信息

base64解码即可

ctrl+F方法

搜索flag或login或flag的各种变形（如搜索ag）得到flag

TCP追踪流找flag方法

分析http请求200的包数据

套路先找http，分析请求内容，一般是base64位解密，然后大概能知道一个密码或者一个压缩文件，图片什么的，下一步就是文件提取，一般用到winhex或者010 16进制编码的工具

6.Wireshake界面

说明：数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules/【视图—着色规则】

7.界面功能解析

Display Filter(显示过滤器)

用于设置过滤条件进行数据包列表过滤。菜单路径：Analyze --> Display Filters

Packet List Pane(数据包列表)

显示捕获到的数据包，每个数据包包含编号，时间戳，源地址，目标地址，协议，长度，以及数据包信息。 不同协议的数据包使用了不同的颜色区分显示

Packet Details Pane(数据包详细信息)

在数据包列表中选择指定数据包，在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的，用来查看协议中的每一个字段。各行信息分别为：

（1）Frame: 物理层的数据帧概况

（2）Ethernet II: 数据链路层以太网帧头部信息

（3）Internet Protocol Version 4: 互联网层IP包头部信息

（4）Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP

（5）Hypertext Transfer Protocol: 应用层的信息，是HTTP协议包

最下方为数据包字节区