门户网站建设全包,建网站的公司广州,烟台58同城网站建设,wordpress微信分享目录
1 wireshark介绍
2 wireshark抓包流程
2.1 选择网卡
2.2 停止抓包
2.3 保存数据
3 wireshark过滤器设置
3.1 显示过滤器的设置
3.2 抓包过滤器 4 wireshark的封包列表与封包详情
4.1 封包列表
4.2 封包详情
参考文献 1 wireshark介绍 wireshark是非常流行的网络…目录
1 wireshark介绍
2 wireshark抓包流程
2.1 选择网卡
2.2 停止抓包
2.3 保存数据
3 wireshark过滤器设置
3.1 显示过滤器的设置
3.2 抓包过滤器 4 wireshark的封包列表与封包详情
4.1 封包列表
4.2 封包详情
参考文献 1 wireshark介绍 wireshark是非常流行的网络封包分析软件功能十分强大。可以截取各种网络封包显示网络封包的详细信息。wireshark是开源软件可以放心使用。 可以运行在Windows、Unix、Linux、Mac OS上。 WireShark 主要分为这几个界面
1. Display Filter(显示过滤器) 用于过滤
2. Packet List Pane(封包列表) 显示捕获到的封包 有源地址和目标地址端口号。 颜色不同代表
3. Packet Details Pane(封包详细信息), 显示封包中的字段
4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏杂项) 2 wireshark抓包流程
2.1 选择网卡 打开 Wireshark 后会直接进入「网卡选择界面」WLAN 是我连接无线的网卡我们抓一下这个网卡的流量双击网卡名自动开始抓包。 2.2 停止抓包
点击左上角的「红色按钮」可以停止抓包。 2.3 保存数据
点击右上角的「文件」选择「保存」可以保存抓包的数据。 也可以直接点击工具栏的保存按钮。 3 wireshark过滤器设置
Wireshark提供了两个过滤器抓包过滤器 和 显示过滤器。两个过滤器的过滤思路不同。
抓包过滤器重点在动作需要的包我才抓不需要的我就不抓。
显示过滤器重点在数据的展示包已经抓了只是不显示出来。
3.1 显示过滤器的设置
可以在显示过滤器中输入过滤条件来获取过滤后的封包列表显示。 常用的几个过滤条件如下
1 协议过滤
比如TCP只显示TCP协议。
2IP 过滤
比如 ip.src 192.168.1.102 显示源地址为192.168.1.102
ip.dst192.168.1.102, 目标地址为192.168.1.102
3 端口过滤
tcp.port 80, 端口为80的
tcp.srcport 80, 只显示TCP协议的愿端口为80的。
tcp.port 2000 and tcp.port 2500 端口号在2000至2500范围内的封包。
4长度和内容的过滤
udp.length 30 http.content_length 20针对长度的过虑
http.request.uri matches “vip” 匹配http请求中含有vip字段请求信息 5逻辑运算符为 AND/ OR/NOT//|| /! 6特定偏移值的数据包tcp[20:3] 47:45:54
3.2 抓包过滤器
抓包过滤器在抓包前使用所以使用抓包过滤器时需要先停止抓包设置完过滤规则后再开始抓包。停止抓包的前提下点击工具栏的捕获按钮点击选项。 在弹出的捕获选项界面最下方的输入框中输入过滤语句点击开始即可抓包。
提示抓包过滤器的输入框会自动检测语法绿色代表语法正确红色代表语法错误。 抓包过滤器过滤有一个基本的语法格式BPF语法格式
1抓取指定IP地址的数据流
host 10.3.1.1抓取发到/来自10.3.1.1的数据流
not host 10.3.1.1抓取除了发到/来自10.3.1.1以外的所有数据流
src host 10.3.1.1抓取来自10.3.1.1的数据流
2抓取指定IP地址范围的数据流
net 10.3.0.0/16抓取网络10.3.0.0上发到/来自所有主机的数据流(16表示长度)
net 10.3.0.0 mask 255.255.0.0与之前的过滤结果相同
not dst net 10.3.0.0/16抓取除了发到以10.3开头的IP地址以外的所有数据流
3抓取指定端口的数据流
port 53抓取发到/来自端口53的UDP/TCP数据流典型是DNS数据流
not port 53抓取除了发到/来自端口53以外的UDP/TCP数据流
portrange 1-80抓取发到/来自端口1-80的所有UDP/TCP数据流
tcp portrange 1-80抓取发到/来自端口1-80的所有TCP数据流
4熟悉报文内容的可以通过各个协议层偏移字段
ip[2:2]numberip报文大小
Tcp[2:2] 50 and tcp[2:2] 100 抓取目的端口为50~100的TCP报文 4 wireshark的封包列表与封包详情
4.1 封包列表
Packet List Pane(数据包列表) 显示捕获到的数据包每个数据包包含编号时间戳源地址目标地址协议长度以及数据包信息。不同协议的数据包使用了不同的颜色区分显示。 数据包列表是最常用的模块之一列表中有一些默认显示的列我们可以添加、删除、修改显示的列。
1添加显示列 想要在数据列表中显示某一个字段可以将这个数据字段添加至显示列中。 左键选中想要添加为列的字段右键选择「应用为列」。 选中字段按 Ctrl Shift I 也可以实现同样的效果。
添加为列的字段会在数据列表中显示。 2隐藏显示列 暂时不想查看的列可以暂时隐藏起来。 在显示列的任意位置右键取消列名的「勾选」即可隐藏显示列。 3删除显示列 不需要查看的字段可以从显示列中删除。 右键需要删除的列点击最下方的「Remove this Column」 。 注意隐藏字段时在列名栏的任意位置右键即可而删除字段时需要在指定的列名位置右键以防误删。
4设置时间 数据包列表栏的时间这一列默认显示格式看起来很不方便我们可以调整时间的显示格式。 点击工具栏的「视图」选择「时间显示格式」设置你喜欢的格式。 5追踪流
要筛选到特定流在感兴趣的流/连接的数据包列表中选择TCP、UDP、DCCP、TLS、HTTP、HTTP/2、QUIC或SIP数据包。有两种打开追踪流的界面方法以TCP为例
方法一 选择菜单项【Analyze → Follow → TCP Stream 】 方法二选择追踪到的数据→ Follow → TCP Stream 下面展示追踪到流数据需要进行说明的是
【1】流内容的显示顺序和它在网络上出现的顺序相同。不可打印的字符被点代替。
【2】从客户端到服务器的流量被标记为红色而从服务器到客户端的流量被标记为蓝色。这些颜色可以通过下面地方设置
4.2 封包详情
Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的用来查看协议中的每一个字段。各行信息分别为
1Frame: 物理层的数据帧概况
2Ethernet II: 数据链路层以太网帧头部信息
3Internet Protocol Version 4: 互联网层IP包头部信息
4Transmission Control Protocol: 传输层T的数据段头部信息此处是TCP
5Hypertext Transfer Protocol: 应用层的信息此处是HTTP协议
TCP包的具体内容
从下图可以看到wireshark捕获到的TCP包中的每个字段。 TCP包的具体内容
从下图可以看到wireshark捕获到的TCP包中的每个字段。 参考文献
Wireshark零基础使用教程超详细_wireshark抓包新手使用教程-CSDN博客
Wireshark数据包操作_wireshark 数据解析-CSDN博客
wireshark分析数据包追踪流_wireshark追踪流-CSDN博客
