Wireshark最新版是一款非常棒的Unix和Windows上的开源网络协议分析器。Wireshark可谓网络分析专业的常青树,任何负责的网络分析人员都对这个软件情有独钟。如今,几乎没有哪种产品像它这样拥有如此持久的魅力,很容易看出其中的原因。网管员如果想知道自己的网络上到底在发生着什么,不妨用这款软件来捕获数据包,然后用一种易于使管理员跟踪计算机之间的会话和数据流的方式显示这些数据包。这款软件拥有大量的排序和过滤选项,供用户查找正在苦苦寻找的确切信息。
1.在接口实时捕捉包
2.支持UNIX和Windows平台
3.可以打开/保存捕捉的包
4.能详细显示包的详细协议信息
5.可以通过多种方式过滤包
6.可以导入导出其他捕捉程序支持的包数据格式
7.多种方式查找包
8.通过过滤以多种色彩显示包
9.创建多种统计分析
1、捕获并解码网络上的数据
2、分析具有专门的协议的网络活动
3、生成并显示关于网络活动的统计结果
4、进行网络能力的类型分析 ?
5、分析具有专门的协议的网络活动
6、生成并显示关于网络活动的统计结果
7、进行网络能力的类型分析
一、过滤规则
只抓取符合条件的包,在Wireshark通过winpacp抓包时可以过滤掉不符合条件的包,提高我们的分析效率。如果要填写过滤规则,在菜单栏找到capture->options,弹出下面对话框,在capture filter输入框内填写相应的过滤规则,点击下方的start就生效了
1.只抓取HTTP报文
tcp port 80
解析:上面是只抓取tcp 协议中80端口的包,大部分Web网站都是工作在80端口的,如果碰到了81端口呢?可以使用逻辑运算符or呗!如 tcp port 80 or tcp port 81
2.只抓取arp报文
ether proto 0x0806
解析:ether表示以太网头部,proto表示以太网头部proto字段值为0x0806,这个字段的值表示是ARP报文,如果的ip报文此值为0x8000
3.只抓取与某主机的通信
host www.32r.com
只抓取3322软件站服务器的通信,src表示源地址,dst表示目标地址
4.只抓取ICMP报文
icmp
二、 显示规则
只是将已经抓取到的包进行过滤显示,在下方的输入框添入相应的规则点击apply即可,如果需要清除这一次的显示过滤点击Clear即可
1.只显示HTTP报文
tcp.port == 80
2.只显示ARP报文
eth.type == 0x806
3.只显示与某主机的通信
ip.addr == 42.121.252.58
4.只显示ICMP报文
Icmp
1、过滤源ip、目的ip
在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1
2、端口过滤
如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包
3、协议过滤
直接在Filter框中直接输入协议名即可,如过滤HTTP的协议
4、http模式过滤
如过滤get包,http.request.method=="GET",过滤post包,http.request.method=="POST"
5、连接符and的使用
过滤两种条件时,使用and连接,如过滤ip为192.168.101.8并且为http协议的,ip.src==192.168.101.8 and http
一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:
1.对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。
表达式为:ip.src == 192.168.0.1
2.对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。
表达式为:ip.dst == 192.168.0.1
3.对源或者目的地址为192.168.0.1的包的过滤,即抓取满足源或者目的地址的ip地址是192.168.0.1的包。
表达式为:ip.addr == 192.168.0.1,或者 ip.src == 192.168.0.1 or ip.dst == 192.168.0.1
4.要排除以上的数据包,我们只需要将其用括号囊括,然后使用 "!" 即可。
表达式为:!(表达式)
二、针对协议的过滤
1.仅仅需要捕获某种协议的数据包,表达式很简单仅仅需要把协议的名字输入即可。
表达式为:http
2.需要捕获多种协议的数据包,也只需对协议进行逻辑组合即可。
表达式为:http or telnet (多种协议加上逻辑符号的组合即可)
3.排除某种协议的数据包
表达式为:not arp !tcp
三、针对端口的过滤(视协议而定)
1.捕获某一端口的数据包
表达式为:tcp.port == 80
2.捕获多端口的数据包,可以使用and来连接,下面是捕获高端口的表达式
表达式为:udp.port >= 2048
四、针对长度和内容的过滤
1.针对长度的过虑(这里的长度指定的是数据段的长度)
表达式为:udp.length < 30 http.content_length <=20
2.针对数据包内容的过滤
表达式为:http.request.uri matches "vipscu" (匹配http请求中含有vipscu字段的请求信息)
同类推荐
2022-04-15
立即下载2022-06-18
立即下载2022-06-25
立即下载2022-07-12
立即下载2022-07-23
立即下载2022-07-23
立即下载相关文章
Wireshark如何改语言?Wireshark中文设置技巧
2021-12-09Wireshark如何设置协议颜色?Wireshark设置协议颜色的技巧
2021-12-09Wireshark如何过滤ip与端口?
2021-12-09驱动人生修复鼠标驱动教程
2022-12-25使用PyCharm给项目配置python解释器的方法
2022-12-25咪咕视频App视频缓存位置在哪里?
2022-12-11Focusky如何添加背景音乐?Focusky添加背景音乐的技巧
2022-05-25驱动精灵一键备份驱动的技巧
2022-03-30猿辅导课程回放的图文教程
2022-01-20酷家乐套用模板方案的技巧
2021-06-03