Wireshark零基础入门 | 在哪里捕获流量?如何捕获?

作者:FancyPig | 发布时间: | 更新时间:

相关阅读

Chris Greer
data-postsbox="{"id":35565,"title":"Wireshark零基础入门 | 如何使用Wireshark,从基本设置开始","author":"FancyPig","author_id":1,"cover_image":"https://static.pigsec.cn/wp-content/uploads/2023/04/20230426143751460.jpg","cover_video":"https://v.pigsec.cn/Wireshark%20Tutorial%20for%20BEGINNERS%20__%20Where%20to%20start%20with%20Wireshark_ts.m3u8","views":2710,"comment_count":1,"category":"cybersecurity","is_forum_post":false}">{"id":35565,"title":"Wireshark零基础入门 | 如何使用Wireshark,从基本设置开始","author":"FancyPig","author_id":1,"cover_image":"https://static.pigsec.cn/wp-content/uploads/2023/04/20230426143751460.jpg","cover_video":"https://v.pigsec.cn/Wireshark%20Tutorial%20for%20BEGINNERS%20__%20Where%20to%20start%20with%20Wireshark_ts.m3u8","views":2710,"comment_count":1,"category":"cybersecurity","is_forum_post":false}
data-postsbox="{"id":36480,"title":"Wireshark零基础入门 | 如何捕获网络流量","author":"FancyPig","author_id":1,"cover_image":"https://static.pigsec.cn/wp-content/uploads/2023/05/20230509031818529.jpg","cover_video":"https://v.pigsec.cn/Wireshark%20Tutorial%20for%20BEGINNERS%20__%20How%20to%20Capture%20Network%20Traffic_ts.m3u8","views":2229,"comment_count":1,"category":"cybersecurity","is_forum_post":false}">{"id":36480,"title":"Wireshark零基础入门 | 如何捕获网络流量","author":"FancyPig","author_id":1,"cover_image":"https://static.pigsec.cn/wp-content/uploads/2023/05/20230509031818529.jpg","cover_video":"https://v.pigsec.cn/Wireshark%20Tutorial%20for%20BEGINNERS%20__%20How%20to%20Capture%20Network%20Traffic_ts.m3u8","views":2229,"comment_count":1,"category":"cybersecurity","is_forum_post":false}
data-postsbox="{"id":37160,"title":"Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧","author":"FancyPig","author_id":1,"cover_image":"https://static.pigsec.cn/wp-content/uploads/2023/05/20230518121602482.jpg","cover_video":"https://v.pigsec.cn/Intro%20to%20Wireshark%20Tutorial%20__%20Lesson%203%20__%20Capturing%20Packets%20with%20Dumpcap_ts.m3u8","views":1584,"comment_count":0,"category":"cybersecurity","is_forum_post":false}">{"id":37160,"title":"Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧","author":"FancyPig","author_id":1,"cover_image":"https://static.pigsec.cn/wp-content/uploads/2023/05/20230518121602482.jpg","cover_video":"https://v.pigsec.cn/Intro%20to%20Wireshark%20Tutorial%20__%20Lesson%203%20__%20Capturing%20Packets%20with%20Dumpcap_ts.m3u8","views":1584,"comment_count":0,"category":"cybersecurity","is_forum_post":false}

视频讲解

我们应该在哪里捕获流量?如何捕获网络流量?本期视频,我们将探讨应该把Wireshark放置在哪个位置,以便在数据包捕获方面获得最佳的视角。在客户端?在服务器端?还是两者都要?

备用播放线路

图文讲解

好了,谢谢你回来参加这个Wireshark教程的另一课。所以我们已经在第二课和第三课中谈到了如何用Wireshark在用户界面或命令行中进行捕获,但现在我们要谈的是在哪里捕获。所以坚持下去。好的,我们在哪里捕获问题?这是一个非常常见的问题,当我们第一次开始使用数据包捕获。我们是否在终端上捕获?我们在服务器上安装它吗?实际上,我们要放在哪里取决于问题的性质以及我们在网络中可以访问到哪些内容。所以,如果我们捕捉到一个单一的客户端的问题,连接到服务器有问题与安全事件,影响到整个网络的区域,那么这将是两个不同的捕捉点。所以我们要在头脑中非常清楚地知道,我们要用Wireshark来观察的问题是什么。在我们得到一个很好的定义之后,我们就可以更好地决定把Wireshark放在哪里。所以,让我们想象一下,我们正在排除一个间歇性的问题,其中几个用户有问题连接到一个应用程序。那么在这种情况下,我们会把Wireshark放在哪里?好的,所以在这个场景中,我只是要在客户端上非常简单地画出它。这里我们只有一个客户端,我们就说这个客户端是Wi-Fi连接的,好吗?因为许多客户端,甚至移动设备或PC了,这往往是他们连接的方式,所以我只是要画一个小连接到一个接入点,好吗?所以就在那里,我在想,好吧,无线环境,可能有其他用户在那个环境。这只是我准备考虑的问题。那我们把接入点连接到交换机上怎么样?然后从该交换机,让我们去之间的防火墙或边缘路由器,让我们只是说从那里,我们要去到我们的供应商,好吗?所以这更多的是在客户端的事情。现在,显然,在你的环境中,这可能要复杂得多,但让我们只是尝试保持简单。现在在服务器端,理想情况下,我想看到一种捕获那一端数据的方法。现在,服务器端变得很棘手,因为现在,需要考虑我们可以访问哪些系统或网络。这个服务器是在你控制的数据中心吗?你能真正访问该服务器吗?你可以访问它所连接的虚拟网络吗?如果这台服务器是AWS中的一个实例,而你只控制这个实例,外面什么都没有,怎么办?

因此,这些问题将指导您可以访问的捕获点的选择。所以,在理想情况下,当我们捕捉到一个问题时,我们想做的是我想看到来自客户端的数据包,在这种情况下,一个好的捕捉点可能就在那个访问点里面。所以我可以看到这个用户,也许还有其他一些连接到它的用户。然后在服务器端,如果我有能力进行监听或镜像,如果我只能访问镜像,把我的Wireshark副本放在这个交换机上,这将是理想的。

然后,它也将是很好的,有另一个捕获点,如果我在链的其他位置,也许在网络之外。假设我在这里连接了一个流量访问点(TAP),然后我可以把这个流量从转移到我正在捕捉的Wireshark上。现在,这是一个理想的情况。

我刚才向你展示的是三个网络流量访问点(TAP),它在电缆上的物理线路,并将流量转移到我捕捉它的分析器上。但是,说实话,不是所有的人都能接触到这些连接。我们不能在光天化日之下打破它们。而且在三个地方进行三次监听是一个很高的要求。所以我们可以做的下一件事是,如果我们没有对网络的物理访问,我们不能在光天化日之下破坏它,而且我们没有一堆流量访问点(TAP)在身边,我们可以可以利用跨越或监视端口这就是我们告诉交换机将数据从一个接口发送到另一个接口的地方。我们会把它复制过来。现在,交换机供应商以很多不同的方式来做这件事,所以你必须看一下你有什么样的交换机,以便能够在网络上配置这种类型的监控。所以我们就说你没有任何流量访问点(TAP)。你没有任何访问网络的机会,你可以把流量跨越到分析仪上。那我们该怎么做?嗯,在这些情况下,我们可能只是通过直接在客户端安装Wireshark来开始并从客户端获得一个视角。

这是一个开始捕捉的简单方法。我们不担心有很多其他用户,但我们能够从这个客户的有利位置看到它在该服务器上遇到的问题。现在,我们需要对此持保留态度。因为我们在一个有问题的活动系统上安装Wireshark,我们要考虑到我们给这个客户端增加了一些负载,而且我们从客户端的数据包驱动角度进行了捕捉。因此,可能会有一些有趣的事情,我们看到在时间或内部感知的数据包大小在那个盒子里,但我们会在另一个视频中去了解这些细节。

重点是,这是许多人开始分析的一种快速而简单的方法,只需直接在测试的终端上安装Wireshark即可。然而,最好的是,我们要尝试在网络本身上捕获它,要么在一个流量访问点(TAP)上,尽可能的接近,或从SPAN端口上。现在在服务器端,我们可以尽力得到一个同步的服务器端捕获。这就是我一直尝试做的。我的目标是我想从几个有利的角度来看,至少是客户端和服务器,同时看到它。这样做的目的是让我看到,比如说,一个TCP SYN。我可以看到一个SYN进来,我可以看到它到达服务器,我可以看到服务器的响应,我可以看到,希望这个SYN回来。我得到了很多时间信息,我还可以看到该服务器与数据库或参与应用的其他服务器的任何后端交易。然而,这时我才真正开始考虑我的环境问题。这个服务器位于哪里?我对它有什么样的访问?我应该使用一个虚拟流量访问点吗?我应该使用一个虚拟SPAN吗?而且,如果可能的话,我强烈建议不要在该服务器上直接安装Wireshark。

让我们考虑一下。那个服务器已经在忙着做很多事情了。我们要小心地避免在它已经试图为很多不同的用户和其他服务提供服务时增加其负载。所以只有当你对该服务器有很好的控制,并且你对它目前的资源和它的繁忙程度有很清楚的了解时,才会这样做。那么我们在哪里安装Wireshark呢?这一切都取决于我们的分析目标是什么?我们是在排查问题吗?我们要做的是尽可能地接近每个终端、客户端和服务器,如果可能的话,获得同步捕获。 如果可能的话,我们不希望在这些终端上进行物理操作。我们希望尽可能地接近,如果我们有控制权的话,可以用流量访问点或SPAN离开网络。 现在在其他情况下,如果我们正在排除安全事件或类似的东西,好,那么我们会想看看从网络进来的管道。我们希望该连接上的所有内容都能进入Wireshark。我们希望有尽可能多的能见度,能够看到流量的来去。所以希望这能给你一些想法,当你使用Wireshark进行分析和排除故障时,应该把它安装在哪里。

谢谢你的光临。我将在另一个视频中看到你。

标签:wireshark, 零基础, wireshark入门, 流量, wireshark怎么抓包, wireshark使用教程入门, wireshark最新版使用教程, wireshark获取ip地址, wireshark获取ip, wireshark还原图片, wireshark分析数据包, wireshark过滤规则及使用方法, wireshark安装教程, wireshark下载, wireshark下载安装教程, wireshark使用心得, wireshark使用方法, Wireshark教程, Wireshark过滤规则, Wireshark数据包分析, Wireshark网络诊断, Wireshark抓包教程, wireshark教程pdf, wireshark教程视频, 安装wireshark教程, wireshark教程推荐