一般情况下wireshark是无法抓取密文的，我们通过谷歌浏览器得到配置密钥然后进行抓取window系统：1.关闭所有浏览器2.设置SSL密钥日志文件：cmd打开控制台，执行如下命令：setxSSLKEYLOGFILEE:\sslkey\keylog.txt3.指定GoogleChrome浏览器生成SSL密钥日志文件，到keylog.txt中"C:\ProgramFiles\Google\Chrome\Application\chrome.exe"--ssl-key-log-file=E:\sslkey\keylog.txt会自动打开谷歌浏览器，注意要将浏览器打开时设置为打开标签页，不然会默认

1|001.介绍网络安全流量分析领域中，wireshark和csnas是取证、安全分析的好工具，包括很多研究安全规则、APT及木马流量特征的小伙伴，也会常用到两个工具。这两款流量嗅探、分析软件，今天先介绍wireshark作为安全分析工具的基本使用。2|002.基本使用 Wireshark对pcap包分析过程中常用的功能基本上包括：数据包筛选、数据包搜索、流还原、流量提取等。本次的演示找到了CTF相关pcap包，如感兴趣可自己下载分析：链接：https://pan.baidu.com/s/1UlmTrXG-botu0M3c4W-lfA  提取码：k0y4 2.1数据包筛选海量数据中要想能察觉到

基本HTTPGET/response交互我们开始探索HTTP，方法是下载一个非常简单的HTML文件。非常短，并且不包含嵌入的对象。执行以下操作：启动您的浏览器。启动Wireshark数据包嗅探器，如Wireshark实验-入门所述（还没开始数据包捕获）。在display-filter-specification窗口中输入“http”（只是字母，不含引号标记），这样就在稍后的分组列表窗口中只捕获HTTP消息。（我们只对HTTP协议感兴趣，不想看到其他所有的混乱的数据包）。稍等一会儿（我们将会明白为什么不久），然后开始Wireshark数据包捕获。在浏览器中输入以下内容http://gaia.cs

一、实验目的（1）观察DHCP的运行（2）了解DHCP相关功能及作用（3）了解DHCP运行机制二、实验步骤与实验问题探讨(1)实验步骤为了观察DHCP的运行情况，我们将执行几个与DHCP相关的命令，并使用Wireshark捕获由于执行这些命令而交换的DHCP消息。执行以下操作:1.首先打开Windows命令提示符窗口。如图1所示，输入“ipconfig/release”。此命令释放当前IP地址。2.启动Wireshark数据包嗅探器，开始Wireshark数据包捕获。3.现在返回Windows命令提示符窗口，输入“ipconfig/renew”。该命令帮助主机获取新的一组网络配置，包括新的IP

数据链路层实作一熟悉Ethernet帧结构使用Wireshark任意进行抓包，熟悉Ethernet帧的结构，如：目的MAC、源MAC、类型、字段等。✎问题你会发现Wireshark展现给我们的帧中没有校验字段，请了解一下原因。尾部四个字节的校验字段都被wireshark过滤了实作二了解子网内/外通信时的MAC地址ping你旁边的计算机（同一子网），同时用Wireshark抓这些包（可使用icmp关键字进行过滤以利于分析），记录一下发出帧的目的MAC地址以及返回帧的源MAC地址是多少？这个MAC地址是谁的？发出帧的目的MAC地址和返回帧的源MAC地址是80:e8:2c:26:70:c5。该MAC

        ICMP（InternetControlMessageProtocol）网络控制报文协议。它是TCP/IP协议簇的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。每个ICMP消息都是直接封装在一个IP数据包中的，因此，和UDP一样，ICMP是不可靠的。        ICMP（InternetControlMessageProtocol）网络控制报文协议。它是TCP/IP协议簇的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消

前言TCP（传输控制协议）是一种面向连接的、可靠的传输层协议。在建立TCP连接时，需要进行三次握手，防止因为网络延迟、拥塞等原因导致的数据丢失或错误传输，确保双方都能够正常通信。TCP三次握手在Wireshark数据包中是如何体现的？在此之前，先熟悉TCP三次握手的流程。TCP三次握手流程1.客户端发送SYN请求报文：客户端选择一个初始序列号（seq）并将SYN标志位置为1，表示请求建立连接。客户端将该SYN报文发送给服务端，并进入SYN_SET状态，等待服务端的响应。2.服务端接收SYN请求报文：服务端接收到客户端发来的SYN请求报文。服务端将SYN标志位置为1，ACK标志位置为1，表示同意

wireshark开始捕获后，浏览器打开xg.swjtu.edu.cn，网页传输完成后，关闭浏览器，然后停止报文捕获。若捕获不到dns报文，先运行ipconfig/flushdns命令清空dns缓存DNS报文设置了筛选条件：dns查询报文目的端口：53，目标ip地址：202.115.64.33 找到DNS相关部分，可以看到事务id，以及queries（问题）字段。——问题部分指的是报文格式中查询问题区域（Queries）部分。该部分是用来显示DNS查询请求的问题，通常只有一个问题。该部分包含正在进行的查询信息，包含查询名（被查询主机名字）、查询类型、查询类。该部分中每个字段含义如下：查询名：一

第一章：Wireshark基础及捕获技巧1.1Wireshark基础知识回顾1.2高级捕获技巧：过滤器和捕获选项1.3Wireshark与其他抓包工具的比较第二章：网络协议分析2.1网络协议分析：TCP、UDP、ICMP等2.2高级协议分析：HTTP、DNS、SSH等2.3高级协议分析：VoIP、视频流嗅探等第三章：Wireshark插件开发3.1使用Lua编写自定义插件3.2使用Python编写自定义插件3.3使用C编写自定义插件第四章：Wireshark统计和可视化4.1使用Wireshark进行网络流量分析4.2使用Wireshark进行网络性能分析4.3使用Wireshark进行网络安

        WireShark的下载安装以及简单的使用方法这里就不赘述，可以参考：网络抓包分析工具Wireshark的下载、安装和使用_wireshark下载教程_初见未晚的博客-CSDN博客https://blog.csdn.net/weixin_45054982/article/details/123257808?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522168757263816800227493487%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522