1.怎么用wireshark抓QQ聊天时的码地数据?
2.Wireshark介绍、Wireshark使用教程
3.如何安装并使用 Wireshark
4.python抓包(sniff)-----实现wireshark抓包功能
怎么用wireshark抓QQ聊天时的码地数据?
准备工作:打开Wireshark软件,登录qq。码地
选择抓包,码地打开qq与网友聊天,码地过一会停止抓包。码地自动下载源码的插件
可以看到Wireshark的码地主窗口如下,它由3个面板组成,码地从上到下依次是码地packet list(数据包列表)、packet details(数据包细节)和packet bytes(数据包字节)。码地
输入oicq进行筛选(oicq就是码地QQ的意思)
可以看出源地址是...;目标地址是...。
如果希望在packet details面板中查看一个单独的码地数据包的内容,必须先在packet list面板中单击选中那个数据包,码地就可以在packet details面板中选中数据包的码地某个字段,从而在packet bytes面板中查看相应字段的码地字节信息。
这里我选择序号为的数据包,双击鼠标查看数据
具体分析
数据链路层(以太网)
可以看出该路由器的厂商在Hangzhou(杭州);该数据包的目标地址是::5d::8a:2d,这是一个以太网的广播地址,所有发送到这个地址的数据都会被广播到当前网段中的所有设备;这个数据包中以太网头的源地址::::e3:就是我们的MAC地址。
网络层(互联网协议)
可以看到IP的版本号为4;IP头的长度是字节;首部和载荷的总长度是字节(0xb),在前,4b在后,说明进行网络传输的时候是先传输高位再传输低位,即高字节数据在低地址,低字节数据在高地址;并且TTL(存活时间)域的值是;还可以看出一台IP地址为...的设备将一个ICMP请求发向了地址为...的设备,这个原始的捕获文件是在源主机...上被创建的。
运输层(用户数据报协议UDP)
可以看出源端口是irdmi (),这在国内主要是QQ使用的端口号(irdmi表示为QQ聊天软件);目标端口是;数据包字节长度为字节;检验和显示为验证禁用,不能验证。蜘蛛牌游戏源码
单击OICQ-IM software
可以看到自己登录的QQ号码
查看传输数据
点鼠标右键,点“follow UDP stream(根据UDP码流)”可查看传输数据
可以看到:
说明qq聊天内容是加密传送的,需要知道加密算法才能破解。
Wireshark介绍、Wireshark使用教程
一、简介:Wireshark(前称 Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark 使用 WinPCAP 作为接口,直接与网卡进行数据报文交换。
网络封包分析软件的功能可想像成 电工技师使用电表来量测电流、电压、电阻 的工作 - 只是将场景移植到网络上,并将电线替换成网络线。在过去,网络封包分析软件是非常昂贵的,或是专门属于营利用的软件。Ethereal 的出现改变了这一切。在 GNUGPL 通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal 是目前全世界最广泛的网络封包分析软件之一。
网络管理员使用 Wireshark 来检测网络问题,网络安全工程师使用 Wireshark 来检查资讯安全相关问题,开发者使用Wireshark 来为新的通讯协定除错,普通使用者使用 Wireshark 来学习网络协定的网站官网源码相关知识。当然,有的人也会居心叵测的用它来寻找一些敏感信息
Wireshark 不是入侵侦测系统(Intrusion Detection System,IDS)。对于网络上的异常流量行为,Wireshark 不会产生警示或是任何提示。然而,仔细分析 Wireshark 撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark 不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。 Wireshark 本身也不会送出封包至网络上。
wireshark 能获取 HTTP,也能获取 HTTPS,但是不能解密 HTTPS,所以 wireshark 看不懂 HTTPS 中的内容,如果是处理 HTTP,HTTPS 还是用 Fiddler,其他协议比如 TCP,UDP 就用 wireshark。同类产品:tcpview
二、工作流程:
(1)确定 Wireshark 的位置。如果没有一个正确的位置,启动 Wireshark 后会花费很长的时间捕获一些与自己无关的数据。
(2)选择捕获接口。一般都是选择连接到 Internet 网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的贝贝网注册源码其它数据对自己也没有任何帮助。
(3)使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。
(4)使用显示过滤器。通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤。
(5)使用着色规则。通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。
(6)构建图表。如果想要更明显的看出一个网络中数据的变化情况,使用图表的形式可以很方便的展现数据分布情况。
(7)重组数据。Wireshark 的重组功能,可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的或文件。由于传输的文件往往较大,所以信息分布在多个数据包中。在线公示系统源码为了能够查看到整个或文件,这时候就需要使用重组数据的方法来实现。
三、使用教程:
1、英文版界面菜单及布局:
2、捕捉过滤器:
捕捉过滤器的语法与其它使用Lipcap(Linux)或者Winpcap(Windows)库开发的软件一样,比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕,这一点跟显示过滤器是不同的。
设置捕捉过滤器的步骤是:
- 选择 capture - options。
- 填写capture filter栏或者点击capture filter按钮为您的过滤器起一个名字并保存,以便在今后的捕捉中继续使用这个过滤器。
- 点击开始(Start)进行捕捉。
语法:Protocol Direction Host(s) Value Logical Operations Other expression
例子:tcp dst .1.1.1 and tcp dst .2.2.2
Protocol(协议):
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果没有特别指明是什么协议,则默认使用所有支持的协议。
Direction(方向):
可能的值: src, dst, src and dst, src or dst
如果没有特别指明来源或目的地,则默认使用 src or dst 作为关键字。
例如,host .2.2.2与src or dst host .2.2.2是一样的。
Host(s):
可能的值: net, port, host, portrange.
如果没有指定此值,则默认使用host关键字。
例如,src .1.1.1与src host .1.1.1相同。
Logical Operations(逻辑运算):
可能的值:not, and, or.
否(not)具有最高的优先级。或(or)和与(and)具有相同的优先级,运算时从左至右进行。例如,
not tcp port and tcp port 与(not tcp port ) and tcp port 相同。
not tcp port and tcp port 与not (tcp port and tcp port )不同。
例子:
tcp dst port 显示目的TCP端口为的封包。
ip src host .1.1.1 显示来源IP地址为.1.1.1的封包。
host .1.2.3 显示目的或来源IP地址为.1.2.3的封包。
src portrange - 显示来源为UDP或TCP,并且端口号在至范围内的封包。
not imcp 显示除了icmp以外的所有封包。(icmp通常被ping工具使用)
src host .7.2. and not dst net ..0.0/ 显示来源IP地址为.7.2.,但目的地不是..0.0/的封包。
(src host .4.1. or src net .6.0.0/) and tcp dst portrange - and dst net .0.0.0/8 显示来源IP为.4.1.或者来源网络为.6.0.0/,目的地TCP端口号在至之间,并且目的位于网络.0.0.0/8内的所有封包。
注意事项:
当使用关键字作为值时,需使用反斜杠\。
ether proto \ip (与关键字ip相同).
这样写将会以IP协议作为目标。
ip proto \icmp (与关键字icmp相同).
这样写将会以ping工具常用的icmp作为目标。
可以在ip或ether后面使用multicast及broadcast关键字。
当您想排除广播请求时,no broadcast就会非常有用。
3、显示过滤器:
通常经过捕捉过滤器过滤后的数据还是很复杂。此时您可以使用显示过滤器进行更加细致的查找。
它的功能比捕捉过滤器更为强大,而且在您想修改过滤器条件时,并不需要重新捕捉一次。
语法:Protocol String 1 String 2 Comparison operator Value Logical Operations Other expression
例子:ftp passive ip == .2.3.4 xor icmp.type
Protocol(协议):
您可以使用大量位于OSI模型第2至7层的协议。点击Expression...按钮后,您可以看到它们。
比如:IP,TCP,DNS,SSH
Wireshark的网站提供了对各种 协议以及它们子类的说明。
四、练习:
首次启动:本案例的客户端有 4 块网卡,其中出口网卡被命名为 ,使用 Wireshark 版本是 v2.0.1
双击 出口网卡 ,开始捕捉包。或者从菜单开始此步,注意勾选混杂模式:
正在对 网卡 进行捕包:
滚屏设置:
封包列表(Packet List Pane)的面板中显示:编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。
不同的协议用了不同的颜色显示,也可以修改这些显示颜色的规则, View -Coloring Rules
保存后的本地文件:
查看 arp 协议的数据包:
查看与某个地址相关的握手:
如何安装并使用 Wireshark
Wireshark是自由开源的跨平台网络数据包分析器,适用于Linux、Windows、MacOS、Solaris等系统。它允许实时捕获网络数据包,并以人性化格式呈现,适合网络故障排除、分析、通信协议开发和教育。Wireshark使用pcap库捕获数据包,并提供命令行工具tshark,与GUI版本执行相同功能。
Wireshark广泛用于网络故障排除、协议分析、软件开发和教育。若要在Ubuntu/Debian系统上安装Wireshark,可使用以下命令:
对于Ubuntu ./.,命令为:
对于Debian 9,命令为:
安装过程中,系统会提示配置非root用户权限。选择yes并回车。安装完成后,需为非root用户配置实时数据包捕获权限,执行如下命令:
安装源代码包的步骤如下:
下载最新版本的Wireshark源代码包(例如,假设最新版本为2.4.2):
解压缩包并进入目录:
编译代码:
安装已编译的软件包:
安装完成后,将用户添加到Wireshark组,避免“permission denied”错误。添加用户到Wireshark组的命令为:
启动Wireshark,可以在菜单或终端执行以下命令:
在Ubuntu ./.系统上,启动Wireshark的方式为:
在Debian 9系统上,启动Wireshark的方式为:
捕获和分析数据包时,Wireshark窗口会显示系统接口。选择接口后,即可查看网络流量。Wireshark具备过滤功能,可根据IP地址、端口号、数据包大小等条件过滤数据。创建过滤器后,可以通过选项卡应用规则,或从已创建规则中选择。过滤器功能允许用户自定义数据查看方式,增强分析效率。通过查看“View -> Coloring Rules”选项,可调整数据包颜色编码,以便更直观地识别流量类型和错误情况。分析数据包时,点击任何捕获的数据包,可获取详细信息,展示数据包内容。Wireshark是一个功能强大的工具,学习和熟练使用可能需要一定时间,但掌握后将极大提升网络分析能力。
python抓包(sniff)-----实现wireshark抓包功能
学习技术应谨慎,确保合法合规使用。
安装scapy模块
通过命令行执行:python -m pip install scapy
scapy的sniff()函数用于数据嗅探。
关键参数包括:
iface:指定目标网络接口。
count:设定捕获数据包的数量上限,非0表示限制数量。
filter:配置流量过滤规则,使用BPF语法。
prn:定义回调函数,当数据包符合过滤规则时调用。
BPF过滤规则示例:
仅捕获特定IP交互流量:host ..1.
仅捕获特定MAC地址交互流量:ether src host ::df:::d8
仅捕获特定IP源流量:src host ..1.
仅捕获特定IP目的流量:dst host ..1.
仅捕获特定端口流量:port
排除特定端口流量:!port
仅捕获ICMP流量:ICMP
特定IP源且特定端口目的流量:src host ..1. && dst port
简单应用示例:
仅捕获源地址为..1.且目的端口为的流量。
注意:务必使用管理员权限运行命令行以获取网络访问权限。
为避免回调函数冗长,可定义callback()函数供prn调用。
捕获的数据包可以保存为pcap格式,使用wireshark工具分析。
完整工具源码运行效果:
注意:确保使用管理员权限运行命令行,否则可能无法访问网络接口。