Wireshark零基础入门 | 如何捕获网络流量

相关阅读

视频讲解

欢迎来到Wireshark零基础入门的第二课。让我们在本教程中学习如何用Wireshark进行网络流量的捕获。我们将学习如何安装相关的驱动，如何配置接口，以及我们还会分享一些实际场景中如何设置较长时间的自动捕获以及截取指定长度payload捕获的设置方法……

图文讲解

因此，在这一课中，它是关于数据包捕获的。那么，我们如何才能真正从网络上获取数据并将其带入我们的分析点？现在，在本课中，我们不会谈论在哪里放置分析器。我们要把这个问题留到以后的课程中。但具体来说，我们要谈的是当你用Wireshark捕获流量时，你会看到的接口它们是什么意思，甚至如何在命令行上做这些事情。所以首先，让我们开始吧，看看当我们安装Wireshark时会发生什么。现在，为了让Wireshark捕获流量，它需要使用一个数据包驱动程序。所以，我们可以看到我们的机器使用的是哪一个是通过去顶部，我在这里是一个Mac系统。

因此，我将继续前进，进入Wireshark，关于Wireshark。

在这里，我可以看到，在一些细节后，我可以看到在安装时，如果我下来到我正在运行的操作系统这里是我的Mac操作系统，如果我下来这里低一点，我可以看到我正在使用libpcap版本1.9.1。

现在，在我的Windows盒子上，我会在那里翻一下，如果我过来做完全相同的事情，会去到帮助，会下来到关于Wireshark，这里我可以看到在我的Windows盒子，我实际上是在使用npcap库。所以它的作用是，在Windows机器上，允许我把这些数据包带入我的分析器并捕获它们。因此，当我在Windows盒子上时，让我们继续前进，看看我们在一开始看到的那种接口。现在，如果你在Wireshark中进入这里，没有看到任何东西，有可能是我们没有安装数据包捕获驱动程序，或者有可能是我们没有管理权限来实际访问系统的那一层，而我们需要能够用Wireshark来做。所以在这里我可以看到这个系统的几个接口。

我有蓝牙网络连接，局域连接，这里是我的Wi-Fi分析点，还有几个不同的东西。现在，在这台机器上，我没有很多不同的物理连接到它。所以很多时候你会看到虚拟接口，特别是如果你有很多VPN适配器，或者如果你使用GNS3等工具，例如，可以创建虚拟适配器。很多时候，你会在这个列表中看到这些。现在，根据我的捕捉方式，要么在Wi-Fi上，要么如果我插入实际的物理接口，这就是我将开始看到流量和活动进来的地方。所以在那条线上，它不会再是平的。它实际上会显示我的流量在哪里。

所以在我的Mac系统上，回到这里，我可以看到我有我的Wi-Fi接口。我肯定有一些信息从那里来和去。我可以看到，利用率。我还看到U-Tune和Thunderbolt和其他一些接口。现在再说一遍，现在我没有安装物理电缆。如果我有，如果我把电缆插到Thunderbolt接口上，你可能会看到那个灯亮了我会看到一些活动。

现在，为了更深入地了解这些接口，我想让你做的是来到我们的小设置按钮或捕获选项。看起来有点像一个设置齿轮。让我们继续点击它，这将使我们进入我们的Wireshark捕获选项。从这里，你可以看到更多的细节关于这些接口中的每一个。

现在，这就是事情可能变得有点混乱的地方，特别是当我们有一些虚拟的接口而我们并不是一直在捕捉所以作为一种实践，我喜欢做的事是我喜欢进入管理接口。

所以我在这里做的是，我只检查我知道我正在积极使用的那些。所以，例如，Wi-Fi。也许现在我会取消选中这些家伙。也许我正在插入一个Thunderbolt接口，所以我让那个接口处于激活状态。或者如果我确定其中一个被映射到一个VPN接口我想在这个接口上捕获。但这样做只是简化了我的列表。所以，而不是有14个接口、其中许多是虚拟的，我可能会或可能不会积极使用，我只是喜欢把它留给那些我确定会使用的。所以我就继续说好了。我可以回到我的列表中，我可以看到，现在已经有点简单了。

现在我想和你们谈谈另一件事，是Snaplen。所以在这里，这是我可以告诉Wireshark如果我正在捕捉流量，只捕捉每帧一定数量的数据。所以说，我在一个安全的环境我不想捕捉整个有效载荷。这就是我可以进来，我可以说捕捉长度64。这将只给我帧的前64字节。通常这就足够了，可以通过帧的以太网部分，IP包信息，所以IP头，然后还有TCP头值。这将给我带来我需要的东西。现在，要注意这个因为有可能你会捕捉不到。我们可以把它切得很远，只是有这么小的数据量其实并没有什么用。所以这只是一个好地方，要记住。如果你不想捕捉整个有效载荷，可以只捕捉前100个左右的字节，和Snaplen是你要配置的地方。旁边缓冲区是2。现在，这只是意味着两兆字节的内核缓冲区为我们的捕获过程。在大多数情况下，我发现这很好。你不需要调整这个数字除非你在一个非常非常高的吞吐量环境中。我们也要确保我们总是在所有的接口上启用混杂模式因为这所做的是它允许Wireshark捕获流量，不仅仅是往返于自己，也包括其他机器之间的单播流量好的，那么现在我们的输出情况如何？

我想为你简要地看一下。让我们转到输出。所以这允许我做的是配置我想让Wireshark保存到的地方也允许我配置一些其他的设置可以使Wireshark流量更容易阅读。现在，对我个人来说，当我做我的分析时，我不喜欢在跟踪文件上做分析，任何大于500兆字节的文件。如果一个跟踪文件或PCAP大于该值，需要很长时间才能打开。我得在上面设置一些预过滤器，才能真正让它顺利打开。所以我喜欢做的是，我喜欢让这些尽可能的小。因此，我要做的是向你展示如何用Wireshark做一个长期的捕捉，而不是创建一个非常，非常大的PCAP在很长一段时间内运行。相反，让我们捕捉许多较小的PCAPs，然后当问题发生时，我们只需回到问题发生时正在捕捉的那个的时间。所以，让我们继续前进，配置这个。因此，首先，我将设置一个位置我想把这些数据保存到那里。所以我要继续，譬如点击浏览，我只是要把这个放在克里斯数据下。好了我将把这个保存为test.pcap，好吗？pcapng，我们走吧。我将说保存。好的，那么现在我有我的位置我想实际保存和名称。接下来，我要下来了，我只是要留下这个输出格式pcapng。但现在我想做的是自动创建一个新文件。所以这个功能是允许我设置我想捕捉的时间量，或者是我想捕捉的数据包的数量？在这种情况下，我要做的是自动创建一个新的文件后，并且我要把500千字节，兆字节，千兆字节。

我们来选择兆字节。

现在将在500兆字节后创建一个新的数据包捕获。现在，如果我在这一点上点击 “开始”，将发生的是，每500兆字节，它将添加一个新的数据包捕获、它将被命名为 “测试”，并且在它后面有一个时间日期戳。现在，这将继续下去，基本上直到我的硬盘被填满。所以，如果我不想用PCAP填满整个硬盘，我可以做的是，我可以使用一个环形缓冲器，我可以创建一定数量的文件这将给我带来我希望实现的任何数量的时间。

所以我们说，例如，如果我在这里打入10，会发生什么，我将有10个500兆字节的文件。所以在第10个文件之后，会发生什么是它会回去覆盖第一个文件，然后是第二个，然后是第三个，以此类推。但我只会有这个滚动的数据量。我只有10个文件，每个500兆。现在在一个低吞吐量的环境中，这可以让我获得一整天的捕获量。但如果我在一个数据中心，在一个非常重要的数据库前，这可能只是几分钟的事。所以这些是你可以调整的数字。你想在每个跟踪文件中拥有更多的数据，也许使用更多的环形缓冲区？所以，比如说，我们覆盖的100个文件，你可以开始做数学题，并计算出你想占用多少硬盘？以及你想让这些数据包捕获多大？一旦我们有了这个设置，现在我没有突出显示开始捕获按钮，因为我没有选择一个接口。所以我要回去输入了，并且我只是要选择Wi-Fi。然后一旦我点击开始，现在Wireshark是要做的环形缓冲区关闭的Wi-Fi接口。然后我可以去那个位置我正在保存这些跟踪文件。事后，问题发生后、现在我有了数据，我可以做一些捕获后的分析。所以这是我经常使用的一个技巧，当我试图捕捉一个问题时，特别是当它是间歇性的，我不知道它到底什么时候会发作。所以这就是我们今天的课程。如何在图形用户界面中用Wireshark实际进行数据包捕获。现在我们的下一课，我们将谈论如何从命令行做数据包捕获所以请继续关注第三课。谢谢你的光临，我们在Wireshark大师班的另一课上见。非常感谢，各位。