Wireshark是一種網路分析工具,它能夠擷取網路封包,並盡可能顯示出最為詳細的網路封包資料。本文將對Wireshark做一些基本的使用介紹。
它也為開放原始碼軟體,使用者可以免費從官方網站下載使用。更新2009.12.22AM01:25
其他下載點:
1.
2.訊6
介紹網路上很多,大家可以上GOOGLE網站找找
我們開始先擷取封包吧
步驟一.封包擷取方式:
1.首先下載完檔案後先進行解壓縮的動作然後打開資料夾後點選"WiresharkPortable.exe"
2.打開程式之後,介面大致上如下圖(看不清楚可以點圖放大)
3.接下來我們點選 主選單中的Capture → Interfaces
3.1點完 Interfaces之後會跳出如下圖的小視窗,這個小視窗會列出電腦裡所有的網路卡資訊。選擇想要觀察的網路卡,按下Start就開始擷取封包 。
(要選擇哪張網卡呢?仔細看看 哪個packets有再增加或者packets/s較高的,選那個就是我們要觀察的)
4.點選START之後程式會開始偵測擷取封包
5.接下來我們打開要偵測封包的網頁(如:奇摩、GOOGLE...等),打開網頁之後,程式所偵測到的封包數會變得更多 ,這時候我們先停止Wireshark的擷取動作,執行主選單的Capture → Stop然後我們隨變點個封包來看看
(先點上面的封包>>在看下面的視窗點選"Internet protocol"把+號打開,就可以看到裡面訊息)
步驟二.查看封包資料偷看密碼:
首先要看封包的資料
我用逢甲蒼穹BBS站的輸入帳號來舉例
1.一開始步驟一樣我就不說明,當Wireshark在擷取封包時(如下圖)我們將瀏覽器連線到逢甲蒼穹的網站 [逢甲蒼穹的網站可以換成你想要的,但是要注意一下通訊協定]
逢甲蒼穹:telnet://140.134.4.5
2.Wireshark在擷取封包時,我們先進到逢甲蒼穹的BBS站中,然後我在"您得帳號"後面輸入ff320232,然後按enter接著會叫你輸入密碼,不過在這邊我只輸入帳號就好,密碼部分同帳號一般的擷取方式。
3.接著我們輸入完帳號之後,我們看Wireshark的部分, 先停止程式擷取封包,停止之後介面上的封包將不再增加,不過剛剛擷取的封包太多了,有太多不是我們要的,這時候可以利用Display Filter功能過濾呈現的內容,點擊Expression挑選我們要的。
4.接著會跳出如下圖的視窗,我們往下尋找TELNET,接著點OK
(這是因為逢甲蒼穹一開始的協定為 telnet )
5.當我們要求Wireshark搜尋 telnet這個協定時,我們要點選APPLY這時候他就會幫我們把 telnet的協定都整理出來。
6.整理出來的telnet協定大致上如下
7.接著我們往下找每一個封包,其中會有一個封包的telnet會顯示"data",注意看data的值是我剛剛輸入ff320232的 f ,我們在往下找,發現每隔一個封包就是我剛剛輸入的值
為什麼每隔一個封包才有我輸入得值呢? 想想看吧!
9.點完之後會跳出一個視窗,這時候還是看不太懂它顯示的訊息是什麼,簡單說明一下,紅色字是我們發送的data,藍色字是我們接收的data ,而...因為是指定所以顯示不出來,但這樣的訊息對我們來說還是太混亂了,所以接著往下看
10.我們必須將上方的訊息做一下整理,所以我們在下面選擇我們的IP,這樣它就會將訊息過濾成我們傳送的訊息
11最後剛剛打的帳號就被顯示出來了
沒有留言:
張貼留言
俗話說
凡走過必留下痕跡,凡住過必留下鄰居
凡爬過必留下樓梯,凡來過必留下IP
看過文章之後歡迎留下您寶貴的意見喔!