Wireshark高级应用

• 单机抓包：直接抓取本机网卡的进出流量数据包；
• 局域网抓包：通过端口镜像技术在交换机上设置端口流量复制转发到安装了wireshark的主机网卡上，来进行整个局域网的数据包的抓取分析。因为现在的交换机基本都具备MAC表，可以做到MAC地址和交换机端口的对应关系记录，这样的话就很难接收到其它主机的通讯数据包了。
• 黑客ARP欺骗抓包：就是通过一些ARP攻击软件或者技术手法对宿主机进行ARP欺骗攻击，将其它主机的流量数据欺骗到宿主机的网卡上来，进行局域网各个主机的数据包抓取；

在"编辑"—–"首选项"——"外观"——"布局"可以改变窗口的布局摆放样式；

可以对列的属性及显示格式进行设置

捕获模式：

普通模式：目标MAC地址是找自已的才抓包，找别人的不抓；

混杂模式：不管是找自己的，还是找别人的都会抓；

在端口上可以设捕获过滤操作；如，只抓取指定的端口443；常用的过滤指令如host, port, src, dst, ip, tcp, http, ftp等，逻辑运算符 || , &&, ! 。

src host 192.168.10.244 && dst port 443 #抓取源为244并且目的端口为443的流量
host 192.168.10.244 || host 192.168.10.211 #抓取244或211的流量数据
！broadcast   #不抓取广播包
host ip地址   #通过IP地址过滤
ether host mac地址   #通过mac地址过滤，比如ether host 98:1a:35:98:09:6f

显示过滤器的常用操作

http,tcp #按照协议搜索
ip.src_host==192.168.10.244  #按照源IP地址进行搜索
ip.src_host==192.168.10.244 or ip.dst_host==192.168.10.211
tcp.flags.ack == 0 and tcp.flags.syn == 1 #你发出的tcp连接三次握手建立连接的交互数据包，
ip.addr==192.168.10.244
tcp.srcport==443  #源端口为443的数据包
not arp   #不获取arp数据
tcp.port == 443 #过滤端口443的数据包

对选中的数据包进行保存，便于以后进行分析；一般保存为pcap格式；

如果对选中的多个记录进行保存，可以右击选中的记录进行标记，然后按上面的方法进行保存；

在"统计"——"流量图"中可以很直观的查看数据流的情况；

• 某些主机是固定IP并且不上网(即不连接Internet),此时路由器可能探测不到该主机
• 路由器没有发现主机的功能,也就无法通过路由器得知当前在线主机
• 没有路由器管理员密码,没有权限无法打开路由器设备管理页面;

可以在命令行中进行全局搜索一次，让在arp中产生缓存。再进行arp -a 搜索,如果是linux系统可以cat /proc/net/arp；

如果需要查找的设备在通讯的过程中，可以在显示过滤器中ip.addr==192.168.10.70 and icmp进行过滤显示；

可以在菜单栏中的"捕获"——-"捕获过滤器…"中添加捕获过滤器；

然后在开始抓包前选择设好的捕获过滤器就可以直接使用了。

在windows可以使用这个命令对局域网中的电脑进行多个地址同进ping操作；以下示例根据情况进行修改网段。对于一个网段ip地址众多，如果单个检测实在麻烦，那么我们可以直接批量ping网段检测，那个ip地址出了问题，一目了然。

for /L %D in (1,1,255) do ping 192.168.1.%D

for /l %D in (1,1,255) do (ping 192.168.10.%D -n 1 && echo 192.168.10.%D>>ok.txt || echo 192.168.10.%D >>no.txt)

nmap -sP 192.168.10.1/24  #将扫描同个网段内不同的ip地址
nmap -sn 192.168.10.*  #将扫描同个网段内不同的ip地址
ping -c 1 192.168.10.50 >/dev/null && arp -n 192.168.10.50 #查看mac地址先ping一下，然后再arp -n

wireshark对https数据进行解密分析

由于https是SSL加密的，通过http是搜索不到的，

先找到Chrome的快捷键方式，如下，快捷方式——-鼠标右键——属性——目标，设置如下，目标启动路径后面添加 –ssl-key-log-fiel=D:\wiresharkkey\ssl\sslkeylog.log，我的设置之后是这个值

C:\User\lserver\AppData\Loacal\Google\Chrome\Application\chrome.exe --ssl-key-log-fiel=D:\wiresharkkey\ssl\sslkeylog.log

在wireshark 菜单栏中的编辑—–首选项——Protocols——–TLS——浏览sslkeylog.log所在的密钥文件所在路径；

此时再进行搜索https的数据流就可以搜索到了；

自定义脚本network_scan_1,此shell脚本只能在linux中使用；

自定义脚本network_scan_2,此shell脚本只能在linux中使用；