启动Wireshark软件,进入软件主页面,点击菜单栏中左上角(如图中圆圈所示)可用网卡列表按钮,打开后弹出如图示小窗口,在小窗口中Packets和Packets/s两项中,有数字变化的网卡即为正在运行的可监控网卡,点击“Start”即可开始监控抓包。
在步骤1中打开后的界面中我们需要了解一下各个部分所展示的具体内容。
这里主要说明两个内容:
封包列表,显示已抓取的封包,可以查看到发送或接收方的MAC/IP地址,TCP/UDP端口号或者协议及封包内容。
封包详细信息,可以查看到各个层级的详细信息,帮助我们进行更进一步的数据分析。
软件测试工作中,对于新手,在抓包开始前为了避免抓到数据过多,造成混乱,可先关闭其他无关程序,点击“Start”后,再打开想要进行抓包的程序。或者熟练后可以在抓包后使用过滤选项“Filter”,直接输入或选择过滤条件,快速定位到我们需要抓包的数据信息。
使用Wireshark进行网络协议分析可以很好的理解三次握手含义,如图,可以查看到三次握手的连接建立数据交换信息,注意,三次握手的封包列表中的数据必须是在首次登录时才会出现,详细信息可以在封包详细信息部分查看并进行具体分析。
5
除此之外,使用Wireshark还可以进行web安全性测试,如抓取用户名密码等信息,在一些没有加密传输的网站进行登录操作(或使用密码口令较弱),用wireshark抓取登录信息后,输入过滤条件如http.request.method=="post"可以查看到使用post方法传输的数据包,其详细信息中可能包括未加密的用户名及密码等个人信息。