流量分析工具wireshark-学习笔记

（一）wireshark工具

1、wireshark工具简介

Wireshark是一种开源网络分析工具，它可以让你在计算机网络上捕获和查看数据包，并能帮助你深入了解网络的运行和协议的实现。它可以捕获不同类型的流量，包括以太网、Wi-Fi、TCP、UDP等，同时支持解码多种应用层协议，如HTTP、SSL、DNS、FTP等，帮助用户了解特定协议的工作原理，用于网络故障分析、网络性能优化等。Wireshark可以在多种操作系统中运行，包括Windows、Mac OS X和Linux等。

2、wireshark工具的重要性

在护网行动中，流量分析对蓝队（防守方）起着至关重要的作用。流量分析是指对网络通信流量的分析和监控，可以帮助蓝队发现和定位网络安全事件，包括恶意攻击、漏洞利用和数据泄露等，提高攻防效率。

具体来说，流量分析可以帮助蓝队完成以下任务：

实时监控网络流量：通过监控网络流量，蓝队可以及时发现网络异常流量，如DDoS攻击、僵尸网络、内网攻击等。通过分析异常流量的特征和规律，蓝队可以快速发现攻击源和攻击目标。
识别和过滤恶意流量：通过对网络通信流量的深度分析，蓝队可以识别和过滤出恶意流量，如恶意软件、病毒、木马等，有效保护系统安全。
分析攻击行为：通过分析攻击流量的特征和行为，蓝队可以了解攻击者的攻击手法和战术，为进一步应对攻击提供参考。
收集并分析日志：通过收集和分析网络通信日志，蓝队可以发现潜在的安全漏洞和安全风险，并及时采取措施修补漏洞，提高系统安全性。

不管是在护网中，还是平时工作中，我们大部分是承担防守这一角色，所以学会流量分析对网络安全从业人员是非常重要的，所以wireshark使用非常的广泛，

3、wireshark下载

https://www.wireshark.org/

进入官网之后，一直下滑到download wireshark

（二）wireshark使用介绍

1、开始的选择

安装完之后，打开软件，会进入这样一个界面。这是开始界面的选择，是对通过哪一个接口进行监听，

各个接口的说明如下：

我是选择以太网，就直接点击以太网进入

2、wireshark界面

点击进来之后，进入wireshark的界面

Wireshark界面中，有三个区域，分别是分组列表、分组详情和分组字节流，这三个都是对捕获到的数据包进行展示和分析的功能区域，不同的区域提供了不同的显示方式和分析信息

分组列表：显示捕获的数据包的概要信息，包括时间戳、源地址、目标地址、协议、数据包长度等。分组列表还可以根据一定的条件进行过滤显示，便于用户快速定位特定数据包。对于某个特定的数据包，用户可以选中该数据包并在下方的窗口中查看其详情信息。

分组详情：显示选中数据包的详细信息，包括分层协议、包头和包体信息、源目IP地址等等。提供了十六进制和ASCII编码的视图，便于用户直观地了解数据包的具体内容和结构。用户还可以在该界面的下方的“解析器详细信息”栏中获得更详细的数据包解析信息。
分组详情的层是对于网络结构，具体如图

分组字节流：显示选中数据包的字节流，便于用户更直观地了解一段数据的十六进制编码。用户也可以使用该界面下方的工具对数据进行编辑或转换，例如转成16进制或ASCII码。

3、功能栏

功能栏共 20个，有着不同的功能

1、开始捕获分组

2、停止捕获分组

3、重新开始当前捕获

4、捕获选项

5、打开以保存的捕获文件

6、保存捕获文件

7、关闭捕获文件

8、重新加载捕获文件

9、查找一个分组

10、转到前一分组

11、转到下一分组

12、转到特定分组

13、转到首个分组

14、转到最新分组

15、在实时捕获分组时，自动滚动屏幕到最新分组

16、使用您的着色规则来绘制分组

17、放大住窗口文本

18、收缩住窗口文本

19、窗口文本返回正常大小

20、调整分组列表已适应内容