Wireshark 是一款免费的开源数据包嗅探器和网络协议分析器,已成为网络故障排除、分析和安全(双向)中不可或缺的工具。
本文深入探讨了充分利用 Wireshark 的功能、用途和实用技巧。
无论您是开发人员、安全专家,还是只是对网络操作感到好奇,本博客都将增强您对 Wireshark 及其应用程序的了解。
1.Wireshark简介
Wireshark 最初由 Eric Rescorla 和 Gerald Combs 开发,旨在实时捕获和分析网络数据包。它的功能涵盖各种网络接口和协议,使其成为任何参与网络工作的人员的多功能工具。与命令行对应工具 tcpdump 不同,Wireshark 的图形界面简化了分析过程,以用户友好的“原型视图”呈现数据,该视图以分层结构组织数据包。这有助于快速识别协议、端口和数据流。
Wireshark 的主要功能包括:
- 图形用户界面 (GUI):与命令行工具相比,简化了网络数据包的分析。
- Proto View:以树形结构显示数据包数据,简化协议和端口识别。
- 兼容性:支持各种网络接口和协议。
2.浏览器网络监视器
FireFox 和 Chrome 内置了更高级的网络监视器工具。它之所以更高级,是因为它使用起来更简单,并且可以开箱即用地与安全网站配合使用。如果您可以使用浏览器调试网络流量,那么您应该这样做。
如果您的流量需要低级协议信息或不在浏览器范围内,Wireshark 是下一个最佳选择。
3.安装和入门
要开始使用 Wireshark,请访问其官方网站进行下载。安装过程很简单,但应注意命令行工具的安装,这可能需要单独的步骤。启动 Wireshark 后,用户会看到一系列网络接口选择,如下所示。选择正确的接口(例如用于本地服务器调试的环回)对于捕获相关数据至关重要。
调试本地服务器 (localhost) 时使用环回接口。远程服务器可能适合 en0 网络适配器。您可以使用网络适配器旁边的活动图来识别要捕获的活动接口。
4.使用滤波器过滤噪声
使用 Wireshark 的挑战之一是捕获的数据量太大,包括不相关的“背景噪音”,如下图所示。
Wireshark 通过强大的显示过滤器解决了这个问题,允许用户专注于特定端口、协议或数据类型。例如,过滤端口 8080 上的 TCP 流量可以显著减少不相关的数据,从而更容易调试特定问题。
请注意,Wireshark UI 顶部有一个完成小部件,可让您更轻松地找到值。
在这种情况下,我们按端口 tcp.port == 8080 进行过滤,这是 Java 服务器(例如 Spring Boot/tomcat)中通常使用的端口。
但这还不够,因为 HTTP 更简洁。我们可以通过将 http 添加到过滤器来按协议进行过滤,从而将视图缩小到 HTTP 请求和响应,如下图所示。
5.深入进行数据分析
Wireshark 擅长以易于理解的方式剖析和呈现网络数据。例如,携带 JSON 数据的 HTTP 响应会自动解析并以可读的树结构显示,如下所示。此功能对开发人员和分析师来说非常有价值,无需手动解码即可深入了解客户端和服务器之间交换的数据。
Wireshark 在数据包分析窗格中解析并显示 JSON 数据。它为原始数据包数据提供十六进制和 ASCII 视图。
6.更多用法
虽然 Wireshark 的基本功能可以满足各种网络任务的需求,但其真正的优势在于高级功能,例如以太网网络分析、HTTPS 解密和跨设备调试。但是,这些任务可能涉及复杂的配置步骤,以及对网络协议和安全措施的更深入了解。
使用 Wireshark 时面临两大挑战:
- HTTPS 解密:解密 HTTPS 流量需要额外配置,但可以查看安全通信。
- 设备调试:Wireshark 可用于排除各种设备上的网络问题,需要具备特定的网络配置知识。
7.HTTPS 加密的基础知识
HTTPS 使用传输层安全性 (TLS) 或其前身安全套接字层 (SSL) 来加密数据。此加密机制可确保在 Web 服务器和浏览器之间传输的任何数据都保持机密且不受影响。该过程涉及一系列步骤,包括握手、数据加密和数据完整性检查。
解密 HTTPS 流量通常是开发人员和网络管理员排除通信错误、分析应用程序性能或确保敏感数据在传输前正确加密所必需的。它是一种强大的功能,可以诊断复杂问题,而这些问题无法通过简单地检查未加密的流量或服务器日志来解决。
8.Wireshark中解密HTTPS的方法
重要提示:解密 HTTPS 流量只能在您拥有或有明确权限进行分析的网络和系统上进行。未经授权解密网络流量可能违反隐私法和道德标准。
8.1.预主密钥记录
一种常用方法是使用预主密钥解密 HTTPS 流量。Firefox 和 Chrome 等浏览器在配置后可以将预主密钥记录到文件中。Wireshark 随后可以使用此文件解密流量:
-
配置浏览器:设置环境变量 (SSLKEYLOGFILE) 以指定浏览器将保存加密密钥的文件。
-
捕获流量:使用 Wireshark 照常捕获流量。
-
解密流量:将 Wireshark 指向具有预主密钥的文件(通过 Wireshark 的首选项)以解密捕获的 HTTPS 流量。
8.2.使用代理
另一种方法是通过代理服务器路由流量,该代理服务器解密 HTTPS 流量,然后在将其发送到目的地之前重新加密。此方法可能需要设置一个可以处理 TLS 加密/解密的专用解密代理:
-
设置解密代理:Mitmproxy 或 Burp Suite 等工具可以充当解密和记录 HTTPS 流量的中介。
-
配置网络以通过代理路由:确保客户端的网络设置通过代理路由流量。
-
检查流量:使用代理的工具直接检查解密的流量。
9.将 tcpdump 与 Wireshark 集成以增强网络分析
虽然 Wireshark 提供了用于分析网络数据包的图形界面,但在某些情况下,由于安全策略或操作限制,直接使用它可能无法实现。 tcpdump 是一个功能强大的命令行数据包分析器,在这些情况下变得非常有用,它提供了一种灵活且侵入性较小的捕获网络流量的方法。
10.tcpdump 在网络故障排除中的作用
tcpdump 允许在没有图形用户界面的情况下捕获网络数据包,非常适合在具有严格安全要求或资源有限的环境中使用。它的工作原理是将网络流量捕获到文件中,然后可以在以后或使用 Wireshark 在另一台机器上进行分析。
10.1.tcpdump 的主要使用场景
- 高安全性环境:在银行或政府机构等地方,运行网络嗅探器可能会带来安全风险,而 tcpdump 则提供了一种侵入性较小的替代方案。
- 远程服务器:由于 Wireshark 具有图形界面,因此在云服务器上调试问题可能具有挑战性;tcpdump 捕获的内容可以传输到本地并进行分析。
- 注重安全性的客户:客户可能不愿意让第三方工具在其系统上运行;tcpdump 的命令行操作通常更容易接受。
10.2.高效地使用 tcpdump
使用 tcpdump 捕获流量需要指定网络接口和捕获的输出文件。此过程简单但功能强大,可以详细分析网络交互:
- 命令语法:启动捕获的基本命令结构包括指定网络接口(例如,无线连接的 en0)和输出文件名。
- 执行:运行命令后,tcpdump 会默默捕获网络数据包。捕获会持续进行,直到手动停止,此时可以将捕获的数据保存到指定的文件中。
- 在 Wireshark 中打开捕获:可以在 Wireshark 中打开 tcpdump 生成的文件进行详细分析,利用 Wireshark 的高级功能来剖析和理解网络流量。
下面显示了 tcpdump 命令及其输出:
$ sudo tcpdump -i en0 -w output
Password:
tcpdump: listening on en, link-type EN10MB (Ethernet), capture size 262144 bytes
^C3845 packets captured
4189 packets received by filter
0 packets dropped by kernel
11.总结
Wireshark 是一款功能强大的网络分析工具,可提供对网络流量和协议的深入洞察。无论是用于低级网络工作、安全分析还是应用程序开发,Wireshark 的功能和能力都使其成为技术库中必不可少的工具。通过实践和探索,用户可以利用 Wireshark 发现有关其网络的详细信息、解决复杂问题并更有效地保护其环境。
Wireshark 将易用性与深厚的分析深度相结合,确保它仍然是各个领域网络专业人士的首选解决方案。它的持续发展和广泛适用性凸显了其在网络分析领域的基石地位。
将 tcpdump 捕获网络流量的功能与 Wireshark 的分析能力相结合,为网络故障排除和分析提供了全面的解决方案。这种组合在无法或不理想的直接使用 Wireshark 的环境中特别有用。虽然这两种工具由于功能强大且复杂而具有陡峭的学习曲线,但它们共同构成了网络管理员、安全专业人员和开发人员不可或缺的工具包。
这种集成方法不仅解决了在各种操作环境中捕获和分析网络流量的挑战,而且还突出了可用于理解和保护现代网络的工具的多功能性和深度。