Wireshark虽然能够直接在不配置协议首选项的情况下进行网络数据包的RAW抓取,但是有些协议包含了共享密钥之类的选项,如果没有这些数据,数据包就无法进行对应的解密,看到的是原始的数据,因此有时候我们需要对协议进行提前配置。
工具/原料
Wireshark
方法/步骤
1
第一步打开Wireshark,然后找到 Edit → Reference,进入首选项配置,在左边可以看到一个 Protocol的选项卡内容。
2
默认情况下会把一些不常用的协议进行隐藏,因此进入 协议首选项 的时候可以选择是否显示显示隐藏的内容。
3
首先我们先看一下 RADIUS协议 的首选项内容,这里最重要的就是:Shared Secret(共享密钥)设置了这个信息就能对RADIUS协议数据包进行解析,包括加密的用户密码都能解析出来。
4
这个是802.11 Radiotap 的选项,选项控制头部的14bit信息是否作为FCS,方便协议解析器解析数据包的结果。
5
这个是DNS的首选项,默认DNS协议是使用TCP/UDP 53端口的,如果不是的话需要手动指定一下使用的端口UDP53:客户机查询的时候使用TCP53:DNS服务器之间更新信息的时候使用
6
关于802.11无线局域网(wifi)的首选项,如果设置了正确的加密密钥,抓取的无线数据包就可以解密了,解密后就能看到实际的内容。
7
ISDN网络的D频道使用的协议选择,可以使用正确的协议进行解析。
8
OpenVPN的协议配置,包括了使用的TCP/UDP端口号码等信息。
9
关于SSL的协议首选项,如果设置了正确的密钥,可以解密抓取的使用SSL的数据,比如HTTPS数据也能够进行解密得到明文。
10
关于TCP协议的首选项。
注意事项
协议数量很多,大多数不需要配置也能够正常工作,请注意不要配置错误,否则容易导致抓取解析工作得到错误的结论。