Wireshark 学习路径建议
按照这个顺序学习,可以帮你打好坚实的基础,避免走弯路。
(图片来源网络,侵删)
入门基础 (适合零基础小白)
目标: 熟悉界面,能捕获数据包,看懂最基本的信息。
-
认识 Wireshark 界面:
- 菜单栏 & 工具栏: 了解基本功能,如打开、保存、开始/停止捕获。
- 捕获接口列表: 知道如何选择要监听的网络网卡。
- 数据包列表: 这是核心区域,显示捕获到的所有数据包的概览。
- 数据包详情: 这是“魔法”区域,以树状结构展示数据包的各个协议头部信息。
- 数据包字节: 以十六进制和 ASCII 码形式展示数据包的原始内容。
-
第一次捕获:
- 实践: 打开 Wireshark,选择你的网卡(通常是
Ethernet或Wi-Fi),点击“开始捕获”。 - 实践: 访问一个网站(如
www.google.com),然后停止捕获。 - 观察: 在数据包列表中,你会看到大量的 HTTP, DNS, TCP 等协议的数据包。
- 实践: 打开 Wireshark,选择你的网卡(通常是
-
掌握基本过滤:
(图片来源网络,侵删)- 显示过滤器: 这是 Wireshark 的灵魂!必须学会。
- 按协议过滤:
http,dns,tcp,arp(输入http只看 HTTP 流量)。 - 按 IP 地址过滤:
ip.addr == 192.168.1.1(只看与该 IP 通信的包)。 - **按端口过滤:
tcp.port == 80(只看 80 端口的流量)。 - **组合过滤:
http and ip.addr == 192.168.1.10(只看某个特定 IP 的 HTTP 流量)。
- 按协议过滤:
- 显示过滤器: 这是 Wireshark 的灵魂!必须学会。
推荐入门视频:
- B站 - 尚硅谷 Wireshark 教程 (强烈推荐):
- 特点: 国内非常经典的免费教程,讲解系统、细致,从零开始,非常适合初学者。
- 链接: 尚硅谷 Wireshark 教程 (请复制链接到浏览器打开)
核心技能进阶 (适合有一定基础的学习者)
目标: 深入理解 TCP/IP 协议栈,能够分析复杂的网络交互过程。
-
深入 TCP/IP 协议分析:
- 三次握手: 在 Wireshark 中捕获一个网站的访问过程,找到 TCP SYN, SYN-ACK, ACK 包,理解连接是如何建立的。
- 四次挥手: 关闭网页时,观察 TCP FIN, ACK 包,理解连接是如何优雅断开的。
- HTTP/HTTPS 分析:
- HTTP (明文): 直接在数据包详情中查看 URL、请求方法、响应状态码 (200, 404) 和内容。
- HTTPS (加密): 理解为什么你看到的是
TLS协议,而不是HTTP,学习如何配置 Wireshark 进行解密(需要服务器私钥)。
- DNS 分析: 查看域名解析的过程,了解 A 记录、CNAME 记录等。
-
高级过滤技巧:
(图片来源网络,侵删)- 使用布尔运算符:
or,and,not。 - 过滤特定字段:
http.request.method == "GET"。 - 使用
contains:http contains "password"(查找包含 "password" 的 HTTP 流量,注意隐私)。 - 正则表达式: 掌握基本正则可以极大地提升过滤能力。
- 使用布尔运算符:
-
专家信息与流追踪:
- 专家信息: Wireshark 对数据包进行自动分析并标记出问题(如错误、警告、注意),学会查看这里可以快速定位异常。
- 追踪流: 右键点击一个数据包,选择“追踪流 -> TCP 流”,可以将一个完整的 TCP 会话的所有数据包按顺序重组显示,非常便于分析应用层数据。
推荐进阶视频:
-
YouTube - NetworkChuck:
- 特点: 国外非常受欢迎的网络安全讲师,风格幽默风趣,实战性极强,他的 Wireshark 教程非常生动,让你在不知不觉中学到知识。
- 推荐播放列表: Wireshark for Ethical Hackers (虽然标题是黑客,但内容是通用的网络分析)
-
YouTube - David Bombal:
- 特点: 另一位优秀的讲师,教程覆盖面广,包括 Wireshark 在网络自动化、CCNA/CCNP 考试中的应用。
- 推荐视频: Wireshark Masterclass
实战与精通 (适合网络/安全工程师)
目标: 能够独立解决实际网络问题,如网络故障排查、性能分析、安全事件响应。
-
网络故障排查实战:
- 慢速问题: 使用
tcp.analysis.flags或tcp.analysis.retransmission过滤器来查找数据包重传,这是导致网络延迟的常见原因。 - 连接失败问题: 分析 TCP 三次握手是否完成,检查中间防火墙是否拦截了特定端口。
- DNS 解析失败: 捕获 DNS 请求,看是否有响应,或响应是否正确。
- 慢速问题: 使用
-
性能分析:
- TCP 窗口大小: 分析 TCP 窗口是否过小,导致数据发送速率受限。
- 延迟分析: 使用
tcp.analysis.ack_rtt计算往返时间。
-
安全分析:
- 扫描检测: 识别大量的 SYN 包(端口扫描)。
- 恶意软件通信: 分析可疑进程的网络流量,识别其连接的 C&C (命令与控制) 服务器。
- 异常流量: 发现非正常时间的大流量、未知协议的流量等。
推荐实战资源:
- 官方文档与博客: Wireshark 的官方文档是最好的参考资料,特别是关于各种协议的解析说明。
- Live Capture 示例: Wireshark 官网提供了一些
.pcap文件供下载练习,你可以下载这些文件,直接在 Wireshark 中打开进行分析,挑战自己能从中发现什么。
学习小贴士
- 多动手,少看视频: 视频是引导,真正的技能来自于你亲手操作的每一分钟,看完一个知识点,立刻打开 Wireshark 实践。
- 搭建自己的实验环境: 使用虚拟机(如 VirtualBox, VMware)安装一台 Linux 或 Windows 虚拟机,连接到你的主机网络,这样你可以在一个受控的环境中进行各种实验,而不会影响你正常的网络。
- 从熟悉的协议开始: 先分析你每天都在用的 HTTP 网页访问,这是最容易理解的切入点。
- 不要怕看不懂: 协议头部信息非常复杂,不可能一次性全部记住,遇到不懂的字段,先跳过,随着分析经验的增加,你会慢慢熟悉它们。
祝你学习愉快,早日成为 Wireshark 大神!
