掌握Wireshark HTTPS过滤技巧,高效分析网络通信安全
一、引言
在当今信息化社会,网络安全问题日益突出,对于网络通信安全的监控与分析变得越来越重要。
Wireshark作为一款开源的网络协议分析工具,广泛应用于网络故障排查、性能优化以及安全分析等领域。
随着HTTPS协议的广泛应用,Wireshark在解析HTTPS数据时面临一些挑战。
本文将介绍如何使用Wireshark进行HTTPS过滤,并高效分析网络通信安全。
二、Wireshark基础知识
Wireshark是一款开源的网络协议分析器,能够捕获网络传输中的数据包,并对其进行详细的分析和显示。
使用Wireshark,我们可以观察网络流量的详细信息,包括协议类型、数据传输方向、数据包内容等。
为了更好地分析网络通信安全,掌握Wireshark的基本操作和一些过滤技巧是非常必要的。
三、HTTPS与HTTP的区别
HTTPS是在HTTP基础上通过SSL/TLS协议进行加密传输的协议。
与HTTP相比,HTTPS在数据传输过程中提供了更好的安全性保障。
由于HTTPS数据包的加密性质,Wireshark在解析HTTPS数据包时无法直接显示数据包内容,这给网络通信安全分析带来了一定的挑战。
四、Wireshark中的HTTPS过滤技巧
为了更好地分析HTTPS通信安全,我们可以利用Wireshark的过滤功能,对HTTPS数据包进行筛选和分析。以下是几个常用的HTTPS过滤技巧:
1. 基于端口过滤:HTTPS通信通常使用443端口,我们可以通过在Wireshark的捕获过滤器中设置端口过滤条件,只捕获443端口的数据包进行分析。
示例:在捕获过滤器中输入“port 443”。
2. 基于SSL/TLS层过滤:Wireshark支持根据SSL/TLS层的信息进行过滤,我们可以根据SSL/TLS握手过程中的信息来过滤出HTTPS数据包。
示例:在显示过滤器中输入“ssl”,可以显示所有包含SSL/TLS信息的数据包。
3. 利用SSLKEYLOG文件:在使用Wireshark分析HTTPS通信时,可以结合使用SSLKEYLOG文件。通过在浏览器中启用SSLKEYLOG文件的生成,并将文件导入Wireshark中,可以解析出HTTPS数据包的内容。这种方法需要浏览器支持并启用相关设置。
五、高效分析网络通信安全
除了掌握过滤技巧外,为了更好地分析网络通信安全,还需要关注以下几个方面:
1. 分析流量模式:通过分析和比较不同时间段的网络流量模式,可以发现异常流量和潜在的安全风险。
2. 关注协议细节:除了关注HTTPS协议本身,还需要关注其他网络协议的安全性,如DNS、SMTP等。这些协议的安全问题可能影响到整体网络通信安全。
3. 结合其他工具使用:为了更好地分析网络通信安全,可以结合使用其他网络安全工具,如Nmap、Metasploit等。这些工具可以帮助我们发现网络中的安全漏洞和潜在风险。
4. 不断学习更新知识:网络安全领域的技术和工具不断更新迭代,为了保持高效的分析能力,需要不断学习新知识,关注最新的网络安全动态。
六、结论
掌握Wireshark的HTTPS过滤技巧对于高效分析网络通信安全至关重要。
通过结合使用端口过滤、SSL/TLS层过滤和SSLKEYLOG文件等方法,我们可以更好地分析HTTPS通信安全。
同时,为了提升分析效果,还需要关注流量模式、协议细节,并结合其他网络安全工具使用。
不断学习更新知识是保持高效分析能力的关键。
如何分析wireshark抓到的包
启动wireshark后,选择工具栏中的快捷键(红色标记的按钮)即可Start a new live capture。
主界面上也有一个interface list(如下图红色标记1),列出了系统中安装的网卡,选择其中一个可以接收数据的的网卡也可以开始抓包。
在启动时候也许会遇到这样的问题:弹出一个对话框说 NPF driver 没有启动,无法抓包。
在win7或Vista下找到C: \system\system32下的 以管理员身份运行,然后输入 net start npf,启动NPf服务。
重新启动wireshark就可以抓包了。
抓包之前也可以做一些设置,如上红色图标记2,点击后进入设置对话框,具体设置如下: Interface:指定在哪个接口(网卡)上抓包(系统会自动选择一块网卡)。
Limit each packet:限制每个包的大小,缺省情况不限制。
Capture packets in promiscuous mode:是否打开混杂模式。
如果打开,抓 取所有的数据包。
一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。
Filter:过滤器。
只抓取满足过滤规则的包。
File:可输入文件名称将抓到的包写到指定的文件中。
Use ring buffer: 是否使用循环缓冲。
缺省情况下不使用,即一直抓包。
循环缓冲只有在写文件的时候才有效。
如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷。
Update list of packets in real time:如果复选框被选中,可以使每个数据包在被截获时就实时显示出来,而不是在嗅探过程结束之后才显示所有截获的数据包。
单击“OK”按钮开始抓包,系统显示出接收的不同数据包的统计信息,单击“Stop”按钮停止抓包后,所抓包的分析结果显示在面板中,如下图所示:为了使抓取的包更有针对性,在抓包之前,开启了QQ的视频聊天,因为QQ视频所使用的是UDP协议,所以抓取的包大部分是采用UDP协议的包。
3、对抓包结果的说明 wireshark的抓包结果整个窗口被分成三部分:最上面为数据包列表,用来显示截获的每个数据包的总结性信息;中间为协议树,用来显示选定的数据包所属的协议信息;最下边是以十六进制形式表示的数据包内容,用来显示数据包在物理层上传输时的最终形式。
使用wireshark可以很方便地对截获的数据包进行分析,包括该数据包的源地址、目的地址、所属协议等。
上图的数据包列表中,第一列是编号(如第1个包),第二列是截取时间(0.),第三列source是源地址(115.155.39.93),第四列destination是目的地址(115.155.39.112),第五列protocol是这个包使用的协议(这里是UDP协议),第六列info是一些其它的信息,包括源端口号和目的端口号(源端口,目的端口)。
中间的是协议树,如下图: 通过此协议树可以得到被截获数据包的更多信息,如主机的MAC地址(Ethernet II)、IP地址(Internet protocol)、UDP端口号(user datagram protocol)以及UDP协议的具体内容(data)。
最下面是以十六进制显示的数据包的具体内容,如图: 这是被截获的数据包在物理媒体上传输时的最终形式,当在协议树中选中某行时,与其对应的十六进制代码同样会被选中,这样就可以很方便的对各种协议的数据包进行分析。
4、验证网络字节序 网络上的数据流是字节流,对于一个多字节数值(比如十进制1014 = 0x03 f6),在进行网络传输的时候,先传递哪个字节,即先传递高位“03”还是先传递低位“f6”。
也就是说,当接收端收到第一个字节的时候,它是将这个字节作为高位还是低位来处理。
下面通过截图具体说明:最下面是物理媒体上传输的字节流的最终形式,都是16进制表示,发送时按顺序先发送00 23 54 c3 …00 03 f6 …接收时也按此顺序接收字节。
选中total length:1014, 它的十六进制表示是0x03f6, 从下面的蓝色选中区域可以看到,03在前面,f6在后面,即高字节数据在低地址,低字节数据在高地址(图中地址从上到下从左到右依次递增),所以可知,网络字节序采用的是大端模式。
如何使用wireshark抓包看别人上了哪些网站
1、找到电脑上的Wireshark软件,点击启动:2、在主页面,可以看如图。先选择“Local Area Connection”,再选择Start,进行启动:3、可以看到软件已经启动,点击红色按钮可以stop:4、如果只想看http的包,在输入框里输入http后,点击apply:5、可以看到协议全部都是http了:6、如果想要重新检测,查看包的发送情况,点击此按钮可以选择重新启动监测:7、可以看到重启后的发包情况:8、找到你想要监测的那个包,右键选择“Follow TCP stream”:
关于ping命令和WIRESHARK的使用
(1)可靠 ,可靠性100%,因为丢包是客观事实,时间也是按照本地时间来得。
ping不管对方是什么设备,只要其尅有ip寻址。
(2)wireshark是一个可以看到网络包的捕获软件。
只能看到ack之类的和对方可以接受的。
拥塞窗口不可以直接读取。
backlog不可以【这玩意是你创建server的时候设定的可以同时接收的客户端,再多的就要排队等待了,不会在网络包上体现出来,所以不可以】,网络可用带宽不可以。
丢包率可以,往返时间需要自己算。
wireshark类只是个软件,你只能根据tcp协议和截包判断这些是否可得。
不是什么参数都可以得到的。
