wireshark_wireshark初学 - CSDN
wireshark 订阅
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。 展开全文
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。
信息
外文名
Wireshark
分    类
软件
用    途
数据报文交换
前    称
Ethereal
Wireshark应用
Wireshark使用目的以下是一些使用Wireshark目的的例子: 网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题,开发者使用Wireshark来为新的通讯协定除错,普通使用者使用Wireshark来学习网络协定的相关知识。当然,有的人也会“居心叵测”的用它来寻找一些敏感信息……Wireshark不是入侵侦测系统(Intrusion Detection System,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改,它只会反映出流通的封包资讯。 Wireshark本身也不会送出封包至网络上。
收起全文
精华内容
参与话题
  • Wireshark中的名字解析

    千次阅读 2019-12-18 21:15:28
    分析wireshark中的名字是如何得来的,包括物理地址,IP地址,端口对应的名称,以及协议中各种字段对应的名称

    Pcap报文是一系列的16进制数字,wireshark将其解析之后为了使用者分析方便,将很多的数字直接显示成一些英文的名称,比如物理MAC地址显示成公司名称,IP层的protocol type显示成TCP或者UDP等。这也是wireshark非常方便的地方,分析人员不需要去记住这些数字所代表含义,通过wireshark的解析即可获取。那么本文就来聊一聊wiresark提供了哪些名字的解析以及其依据,作为我的专栏《wireshark从入门到精通》中的其中一篇。

    在wireshark解析报文的时候,会显示物理地址的名称。我们知道物理地址是按段分配给各个硬件公司的,显示的名称就是该地址所在段所属的公司名。其实不仅仅可以显示物理地址的名称,给予分析人员直观上的指导,还可以显示IP以及端口对应的名称。IP的名称指的就是IP对应的域名,端口的名称指的就是使用该端口的服务名。如图1即可设置对于物理地址,网络层地址,传输层地址进行名称解析:
    在这里插入图片描述
    图1
    通常来说物理地址名称是默解析认,如果勾选了三种解析,在显示物理层,网络层,传输层地址的地方则会有相应的名称替代对应的数字地址,如图2:
    在这里插入图片描述
    图2

    图2中的目的和源物理层地址是分配给LiteonTe以及Tp-LinkT的。59.216.110.2对应的名称也就是域名为cctv.xdwscache.ourglb0.com,192.168.0.113是一个保留IP没有对应的域名则只显示数字地址。http协议默认端口为80,则80端口的名称为http。那么这三种地址对应的名称是如何得来的呢?

    首先网络层地址的名称是通过pcap文件中DNS报文解析得来的,而不是HTTP层的host,因为通过编辑->首选项可以得到图3的设置:
    在这里插入图片描述
    图3
    可以看到默认勾选了使用DNS报文用于IP地址的解析,最下方的GeoIP database指的是解析IP地址的地理位置的信息,关于具体的设置和背景知识后续会有单独的章节进行讲解。物理层地址和端口的是通过wireshark内部的映射表获取其名称的。点击 统计->已解析的地址,如图4:
    在这里插入图片描述
    图4

    • 1,图4中Hosts那一项表示的就是IP和域名的对应关系,由于我这变没有任何报文,因此该项为空。对于有DNS报文的文件,这里面出现的就是IP和域名的映射表。
    • 2,服务那一项表示的就是端口号和服务名的映射关系,例如80端口对应的服务是HTTP,3988/tcp对应的服务是dcs-config 等等。
    • 3,物理地址和名称的映射关系在最后的 以太网制造商那一项,可以自行查看。

    需要说明的是,这种映射关系并不是wireshark凭空规定的,而是参考了IANA等一些标准组织,因为协议相关的规定都是由他们制定的,如图5:
    在这里插入图片描述
    图5
    可以看到明确引用了IANA对于端口的定义。当然由于我目前版本是2.4,最新版本的这些说明并没有放在作者这一部分。IANA关于端口服务对应的数据库见这里,由于服务名称的变化,每一次wirershark版本可能需要对齐最新的数据库。关于这个数据库,我在以前曾指出他们的一个小错误,详见这里

    除了物理地址,网络层地址,传输层地址外,在wireshark的解析中还有一些其他的数字也会显示具体的名字,如图6:
    在这里插入图片描述
    图6
    图6中以太网层的typ0x800显示成了IPV4,IP层的protocol 6显示成了TCP,17的话则是UDP。那么这些数字和名字的对应关系在哪里呢?选择 视图->内部->解析器表,如图7:
    在这里插入图片描述
    图7
    可以看到wireshark提供了四种表,启发式表,整数表,自定义表和字符串表。在整数表可以查看像以太网层type名称的由来,如图8:
    在这里插入图片描述
    图8
    图8中显示的是10进制,和UI界面中显示的是16进制,要注意区别。

    在启发式表TCP那一项中能够查询到Hypertext Transfer Protocol 和HTTP的对应关系,如图9:
    在这里插入图片描述
    图9
    http报文在报文栏和具体解析栏的可以看到存在一定的不同,如图10:
    在这里插入图片描述
    图10
    即有的时候只会显示简写的HTTP,有地方则会显示全称Hypertext Transfer Protocol,通过启发式表进行转换。

    通过上述的分析,相信你已经能够明白wireshark内部是如何对于一些数字进行名字转换的。

    本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里

    展开全文
  • 网络抓包工具 wireshark 入门教程

    万次阅读 多人点赞 2018-02-10 09:59:57
    Wireshark(前称Ethereal)是一个网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。网络管理...

    Wireshark(前称Ethereal)是一个网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

    网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题,开发者使用Wireshark来为新的通讯协定除错,普通使用者使用Wireshark来学习网络协定的相关知识。当然,有的人也会“居心叵测”的用它来寻找一些敏感信息……。Wireshark相对于tcpdump而言,界面更友好,功能更强大。

    安装

    mac上安装wireshark

    windows上安装wireshark

    linux下安装wireshark

    基本使用

    以下的介绍都是以mac下的wireshark 1.12.2版本为基础。

    认识界面

    说明:

    常用按钮从左到右的功能依次是:

    1、列出可用接口。

    2、抓包时需要设置的一些选项。一般会保留最后一次的设置结果。

    3、开始新的一次抓包。

    4、暂停抓包。

    5、继续进行本次抓包。

    6、打开抓包文件。可以打开之前抓包保存后的文件。不仅可以打开wireshark软件保存的文件,也可以打开tcpdump使用-w参数保存的文件。

    7、保存文件。把本次抓包或者分析的结果进行保存。

    8、关闭打开的文件。文件被关闭后,就会切换到初始界面。

    9、重载抓包文件。

    设置数据抓取选项

    点击常用按钮中的设置按钮,就会弹出设置选项对话框。在这个对话框中我们可以选中需要监听的接口,设置混杂模式,设置抓取数据包的过滤条件。如下图:

    首先,选中需要监听获取数据包的接口。接口列表区列出了所有可以使用的接口。如果接口前面的复选框被选中,说明对这个接口监听捕获数据包。

    其次,设置混杂模式。设置混杂模式的作用是将网卡设置到混杂模式。如果不设置混杂模式,你的计算机只能获取数据包发往的目标是你计算机和从你计算机出去的数据包。如果设置了混杂模式,你就可以捕获局域网中所有的数据包。如果窗口中的 "Use promiscuous mode on all interfaces"前面的复选框被选中,说明对所有的接口使用混杂模式。如果想单独设置,可以双击接口列表中的接口,会弹出如下的对话框。然后选中或者去掉“Capture packets in promiscuous mode”前面复选框。然后点ok按钮。

    再次,设置捕获过滤条件。在点设置按钮弹出的主设置对话框中和双击接口列表弹出的对话框中都会有“Capture Filter”项。在文本框中我们可以设置捕获过滤条件。如,我们只捕获http相关的数据包,我们就可以设置捕获条件为“port 80”。因为http使用的是80端口。

    最后,所有的设置完毕后,点击设置主窗口中的“Start”按钮,开始捕获数据。数据捕获完后,可以点常用按钮中的“保存”按钮保存数据。

    使用显示过滤器

    显示过滤器应用于捕获文件,用来告诉wireshark只显示那些符合过滤条件的数据包。显示过滤器比捕获过滤器更常用。他可以用来过滤不想看到的数据包,但是不会把数据删除。如果想恢复原状,只要把过滤条件删除即可。

    过滤器表达式对话框,是的wireshark的可以很简单的设置过滤表达式。点击“Expression”按钮就可以打开这个对话框。如下图:

    对话框分左中右三部分。左边为可以使用的所有协议域。右边为和协议域相关的条件值。中间为协议域与条件值之间的关系。过滤器表达式对于初学者很有用。如上图,我们创建的表达式的作用是,只显示http协议包中包含关键词“bo56.com”的所有数据包。

    Field name说明:
    这个列表中展示了所有支持的协议。点击前面的三角标志后,可以列出本协议的可过滤字段。当选中“Field name”列表中的任何一项,只需要输入你想要的协议域,就会自动定位到相应的协议域选项。

    Relation说明:
    is present    如果选择的协议域存在,则显示相关数据包。
    contains     判断一个协议,字段或者分片包含一个值
    matches             判断一个协议或者字符串匹配一个给定的Perl表达式。

    Value(Protocol)说明:
    此处输入合适的值。如果选择的协议域和这个值满足Relation中指定的关系,则显示相关数据包。

    Predefined values说明:
    有些协议域包含了预先定义的值,有点类似于c语言中的枚举类型。如果你选择的协议域包含这样的值,你可以在这个列表中选择。

    Function函数说明:
    过滤器的语言还有下面几个函数:
    upper(string-field)-把字符串转换成大写
    lower(string-field)-把字符串转换成小写
    upper((和lower((在处理大小写敏感的字符串比较时很有用。例如:
    upper(ncp.nds_stream_name) contains "BO56.COM"
    lower(mount.dump.hostname) =="BO56.COM"

    如果你熟悉了这个规则之后你就会发现手动输入表达式更有效率。当时手动在flter文本框中输入表达时,如果输入的语法有问题,文本框的背景色会变成红色。这时候,你可以继续输入或者修改,知道文本框中的表达式正确后,文本框的背景色又会变成绿色。

    使用着色规则

    你经常会在数据包列表区域中看到不同的颜色。这就是wireshark做的很人性化的一方面。它可以让你指定条件,把符合条件的数据包按指定的颜色显示。这样你查找数据包会更方便些。下面我们说一下如何设置颜色规则。

    点击“view”菜单,然后选择“Coloring Rules”选项就会弹出设置颜色规则设置对话框。你点击颜色规则设置的快捷按钮也可以打开颜色设置对话框。如下图:

    打开的对话框中默认已经有一些规则。我们抓取的数据包中经常会看到一些不同的颜色,就是应用的这些默认的规则。点击“New”按钮可以添加规则。如下图:

    name字段中填写规则的名称,方便记忆。

    string字段中填写过滤规则。这里的语法和显示规则表达式一致。点击 上图中的“Expression”按钮,你就会看到熟悉的规则表达式对话。

    Foreground Color按钮用于选择前景色。

    Background Color按钮用于选择背景色。

    Disabled按钮用于指示是否禁用这条规则。

    点击ok按钮后,规则自动会添加到规则列表中的最前端。

    注意:wireshark在应用规则的时候,是按自上而下的顺序去应用规则。因此刚添加的规则会优先应用。如果你想调整顺序,可以选中要调整顺序的规则,然后点击右边的“UP” 或则 “Down” 按钮。

    颜色规则设置好后,只需要点apply按钮就可以应用规则了。规则效果应用如下图:

     

    使用图表

    图形分析是数据分析中必不可少的一部分。也是wireshark的一大亮点。wireshark有不同的图形展现功能,以帮助你了解捕获的数据包。下面我们对经常使用的IO图,双向时间图做下介绍。

    IO图

    wireshark的IO图让你可以对网络上的吞吐量绘图。让你了解网络数据传输过程中的峰值和波动情况。通过“Statistics”菜单中的“IO Graphs”选项可以打开这个IO图对话框。如下图:

    可以看到IO图表对话框中会分为三个区。

    过滤器区:设置过滤条件,用于图形化展示过滤条件相关数据包的变化情况。而且可以为每个不同的条件指定不同的颜色。过滤条件的语法和之前介绍的显示过滤器的语法一致。过滤条件为空,此图形显示所有流量。

    坐标区:在这里可以设置图表的x轴和y轴。x轴为时间,y轴为包的数量。如图,我们设置Y轴的单位是Bytes/Tick。

    趋势图区:根据过滤器设置的条件和坐标区设置,数据分析后回在这个区域以图形化方式展示。点击图形中的点,会自动定位到相应的数据包。点击趋势图中的低谷点,你会发现大量的数据包重传。

    IO图表还可以通过函数对数据进行聚合处理。

    点击Y轴中Unit选项中的Advanced后,就会再过滤器区就会增加Calc选项。如下图:

    相关函数说明:

    MIN( ), AVG( ), MAX( ) 分别是统计协议域中数值的最小,平均和最大值。注意,这三个聚合函数只对协议域的值为数字的才有效。

    Count( ) 此函数计算时间间隔内事件发生的次数,在查看TCP分析标识符时很有用,例如重传。

    Sum( ) 该函数统计事件的累加值。和MIN()函数一样,这个也只有协议域的值为数字的情况下才有效。

    双向时间图

    wireshark还有一个功能就是可以对网络传输中的双向时间进行绘图。双向时间(round-trip time, RTT),就是一个数据包被确认正常接收所花费的时间。以tcp协议为例,就是你push一个数据到一台主机,主机回应一个ack给你的主机,你的主机并成功接收ack回应。这两个过程花费的时间总和就是双向时间。双向时间通常用来寻找网络传输过程中的慢点和瓶颈,用以判断网络传输是否有延迟。

    通过“Statistics”菜单中的“Tcp  StreamGraph”中的“Round Trip Time Graph”选项可以打开这个双向时间图对话框。如下图:

    这个图表中的每个点代表一个数据包的双向时间。你可以单机图表中的任何一点,然后在数据包列表区就会自动定位到相应的数据包。从数据表来看,我们下载压缩包还是比较稳定的。数据包的rtt时间大多数在0.05s以下,其他大多数在0.1s左右,少数超过了1.5s。

    跟踪tcp流


    Wireshark分析功能中最不错的一个功能是它能够将TCP流重组。重组后的数据格式更容易阅读。跟踪TCP流这个功能可以将接收到的数据排好顺序使之容易查看,而不需要一小块一小块地看。这在查看HTTP、FTP等纯文本应用层协议时非常有用。

    我们以一个简单的HTTP请求举例来说明一下。打开wireshark_bo56_pcap.pcapng,并在显示过滤器中输入“http contains wireshark”,点击“apply”按钮后,在数据包列表框中就会只剩下一条记录。如下图。

    右键单击这条记录并选择Follow TCP Stream。这时TCP流就会在一个单独的窗口中显示出来。如下图:

    wireshark_tcp_follow_dialog

    我们看到这个窗口中的文字会有两种颜色。其中红色用于表示从源地址到目标地址的流量。在我们的例子里面就是从我们本机到web服务器的流量。你可以看到最开始的红色部分是一个GET请求。蓝色部分是和红色部分相反的方向,也就是从目标地址到源地址的流量。在我们的例子中,蓝色部分的第一行是“HTTP/1.1 200 OK”,是来自服务器的一个http成功响应。

    在这个窗口中除了能够看到这些原始数据,你还可以在文本间进行搜索,将其保存成一个文件、打印,或者以ASCII码、EBCDIC、十六进制或者C数组的格式去查看。这些选项都可以在跟踪TCP流窗口的下面找到。

    展开全文
  • wireshark怎么抓包、wireshark抓包详细图文教程

    万次阅读 多人点赞 2015-07-23 18:04:59
    wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。 为了安全考虑,wireshark只能查看封包,而...

    wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。
    为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。

    wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark.


    wireshark 开始抓包

    开始界面

    wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。

    点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包

    Wireshark 窗口介绍

    WireShark 主要分为这几个界面

    1. Display Filter(显示过滤器),  用于过滤

    2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表

    3. Packet Details Pane(封包详细信息), 显示封包中的字段

    4. Dissector Pane(16进制数据)

    5. Miscellanous(地址栏,杂项)

    2 页 Wireshark 显示过滤

    使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。

    过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

    过滤器有两种,

    一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录

    一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。 在Capture -> Capture Filters 中设置

    保存过滤

    在Filter栏上,填好Filter的表达式后,点击Save按钮, 取个名字。比如"Filter 102",

    Filter栏上就多了个"Filter 102" 的按钮。

    过滤表达式的规则

    表达式规则

     1. 协议过滤

    比如TCP,只显示TCP协议。

    2. IP 过滤

    比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,

    ip.dst==192.168.1.102, 目标地址为192.168.1.102

    3. 端口过滤

    tcp.port ==80,  端口为80的

    tcp.srcport == 80,  只显示TCP协议的愿端口为80的。

    4. Http模式过滤

    http.request.method=="GET",   只显示HTTP GET方法的。

    5. 逻辑运算符为 AND/ OR

    常用的过滤表达式

    过滤表达式 用途
    http 只查看HTTP协议的记录
    ip.src ==192.168.1.102 or ip.dst==192.168.1.102  源地址或者目标地址是192.168.1.102
       
       

    封包列表(Packet List Pane)

    封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。 你可以看到不同的协议用了不同的颜色显示。

    你也可以修改这些显示颜色的规则,  View ->Coloring Rules.

    封包详细信息 (Packet Details Pane)

    这个面板是我们最重要的,用来查看协议中的每一个字段。

    各行信息分别为

    Frame:   物理层的数据帧概况

    Ethernet II: 数据链路层以太网帧头部信息

    Internet Protocol Version 4: 互联网层IP包头部信息

    Transmission Control Protocol:  传输层T的数据段头部信息,此处是TCP

    Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议

    3 页 wireshark与对应的OSI七层模型

    TCP包的具体内容

     从下图可以看到wireshark捕获到的TCP包中的每个字段。

    4 页 实例分析TCP三次握手过程

    看到这, 基本上对wireshak有了初步了解, 现在我们看一个TCP三次握手的实例

     三次握手过程为

    这图我都看过很多遍了, 这次我们用wireshark实际分析下三次握手的过程。

    打开wireshark, 打开浏览器输入 http://www.cr173.com

    在wireshark中输入http过滤, 然后选中GET /tankxiao HTTP/1.1的那条记录,右键然后点击"Follow TCP Stream",

    这样做的目的是为了得到与浏览器打开网站相关的数据包,将得到如下图

    图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。

    第一次握手数据包

    客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。 如下图

    第二次握手的数据包

    服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

    第三次握手的数据包

    客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:

     就这样通过了TCP三次握手,建立了连接


    展开全文
  • Wireshark使用详解

    万次阅读 多人点赞 2019-10-28 23:23:32
    WireShark Wireshark的简单使用 数据包的过滤 数据流追踪 专家信息说明 数据包的统计分析 导出对象——>HTTP 数据包分析过程中的一些小技巧 WireShark WireShark只要是学计算机的人应该都听过,也用过。...

    目录

    WireShark

    Wireshark的简单使用

    数据包的过滤

    数据流追踪 

    专家信息说明

    数据包的统计分析 

    导出对象——>HTTP

    数据包分析过程中的一些小技巧 


    WireShark

    WireShark只要是学计算机的人应该都听过,也用过。一个非常好用的免费的抓包工具。Wireshark使用WinPcap作为接口,直接与网卡进行数据报文交换。

    Wireshark的简单使用

    双击选择了网卡之后,就开始抓包了

    停止抓包后,我们可以选择保存抓取到的数据包。文件——> 另存为——>选择一个存储路径,然后就保存为后缀为 .pcap 格式的文件了,可以双击直接用wireshark打开。

    数据包的过滤

    数据包过滤是wireshark一个很实用的功能了,通常我们抓包会抓取到网卡通过的所有数据包。很多数据包对于我们来说是没用的,所以我们就需要对其进行过滤。数据包的过滤可以分为 抓取时过滤 和 抓取后的过滤  。这两种过滤的语法不同!

    抓取时过滤 

    捕获——>捕获过滤器,这是wireshark默认的一些捕获过滤器,我们可以参照他的语法,自己在左下角自己添加或者删除捕获过滤器

    然后如果我们想抓取时对数据包过滤,捕获——>选择,然后选择我们要抓取数据包的网卡,在下面选择我们的过滤器。绿色的话表示语法没有问题,设置好了之后点击开始就可以抓取数据包了

     抓取后的过滤 

    我们一般都是抓取完数据包后进行过滤的,在上方输入我们的过滤语法

    过滤地址
    ip.addr==192.168.10.10  或  ip.addr eq 192.168.10.10  #过滤地址
    ip.src==192.168.10.10     #过滤源地址
    ip.dst==192.168.10.10     #过滤目的地址
    
    过滤协议,直接输入协议名
    icmp 
    http
    
    过滤协议和端口
    tcp.port==80
    tcp.srcport==80
    tcp.dstport==80
    
    过滤http协议的请求方式
    http.request.method=="GET"
    http.request.method=="POST"
    http.request.uri contains admin   #url中包含admin的
    http.request.code==404    #http请求状态码的
    
    连接符
    &&  
    ||
    and
    or
    
    通过连接符可以把上面的命令连接在一起,比如:
    ip.src==192.168.10.10 and http.request.method=="POST"
    

    数据流追踪 

    我们的一个完整的数据流一般都是由很多个包组成的,所以,当我们想查看某条数据包对于的数据流的话,我们就可以:右键——>追踪流,然后就会有TCP流、UDP流、SSL流、HTTP流。当你这个数据包是属于哪种流,就可以选择对应的流

    当我们选择了追踪流时,会弹出该流的完整数据流。还有这个数据流中包含的数据包。顶部的过滤器就是该流的过滤规则

     专家信息说明

    功能:可以对数据包中特定的状态进行警告说明。

    • 错误(errors)
    • 警告(Warnings)
    • 标记(notes)
    • 对话(chats)

    路径:分析——>专家信息

    数据包的统计分析 

    分析一栏中,可以对抓取的数据包进行进一步的分析,比如抓取的数据包的属性、已解析的地址、协议分级等等。我就不一一列出来了

    已解析的地址 

    功能:统计通信流量中已经解析了的地址

    路径:统计——>已解析的地址

    协议分级

    功能:统计通信流量中不同协议占用的百分比

    路径:统计->协议分级

    统计摘要说明

    功能:可以对抓取的数据包进行全局统计,统计出包的一些信息

    路径:统计->捕获文件属性 

    导出对象——>HTTP

    这个功能点非常有用,他可以查看并且导出HTTP流对象,这对于数据包分析非常有用!

    数据包分析过程中的一些小技巧 

    • 大量404请求——>目录扫描
    • 大量 select....from 关键字请求——>SQL注入
    • 连续一个ip的多端口请求或多个ip的几个相同端口请求——>端口扫描
    • 黑客通过爆破账户和密码,则是post请求   http.request.method==POST
    • 黑客修改文件,  ip.addr==219.239.105.18 and http.request.uri matches "edit|upload|modify"  
    • 如果是用菜刀连接的包,则是post请求  ip.addr==219.239.105.18  and  http.request.method==POST


     

    展开全文
  • 从零开始学Wireshark抓包-协议分析与故障排除视频培训课程,教大家学会借助于Wireshark抓包工具,对常见的协议进行分析,从而定位并解决相关的网络故障。本课程建议大家至少具有CCNA相关的网络基础知识,Wireshark...
  • 第一步,肯定是先下载wireshark这个软件到本机上边。下载之后,我们把这个软件的安装包放在C盘,并为C盘设置共享,把这个安装包放在虚拟机上边。 介绍一下怎么设置在本机上设置共享: 比如,我们对E盘设置共享: 1、...
  • 1、获取文件 链接:https://pan.baidu.com/s/1I9OP1xq4ZBsuWecocNWQog 提取码:fs7e 2、安装步骤 (1)双击exe文件 选择中文。 (2) ......
  • 2019独角兽企业重金招聘Python工程师标准>>> ...
  • 选中指定网卡进行流量嗅探 使用netdiscover软件进行配合 //////////////////////////////// 先获取你的kaili虚拟机的ip比如192.156.4.5 ...你可以通过WireShark抓包看出来 最终扫描结果 发现了三台机器 ...
  • 我卸载了VMware,然后装了一个新版本,结果wireshark就抓不到包了 我尝试使用了网上所有的方法,除了重装都没有用,最后解决的办法是重装最新版的wireshark,打扰了 我用过的方法有: 管理员权限进入cmd,重新...
  • Wireshark基本用法介绍

    千次阅读 2019-05-05 17:14:02
    wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。 wireshark是开源软件,可以放心使用。 可以运行在Windows和Mac OS上。 2. 开始抓包 2.1 选择网卡 ...
  • Wireshark使用教程

    万次阅读 多人点赞 2018-10-18 09:40:53
    wireshark 2.6.3 汉化版为例 安装 除了路径是自定义之外,其它均默认即可。 使用 开始捕获 菜单“捕获-选项”,设置需要捕获的网络适配器,点击“开始”。也可以在菜单“捕获-开始”、“捕获-结束”来控制...
  • WireShark过滤TCP及端口

    万次阅读 2014-10-19 15:08:14
    wireshark1.8.7
  • 设置wireshark语言

    万次阅读 2017-01-07 22:26:40
    wireshark ver2.2.3支持多种语言选择 菜单 编辑->首选项->外观->语言
  • 在windows平台中,有两个wireshark的图标,一个是wireshark(中文版);另外一个是wireshark legacy (英文版)。 在这里我们选择wireshark(中文版),英文版的参考我这个区域中其他的blog 设置捕获接口 停止...
  • wireshark按照域名过滤

    万次阅读 2016-06-25 01:58:37
    http.host == "baidu.com" http.host contains baidu.com
  • ubuntu16.04安装wireshark

    万次阅读 2018-06-18 19:58:34
    1. 安装wireshark$ sudo apt install wireshark或者ubuntu software中心搜索安装2. 配置wireshark$ sudo dpkg-reconfigure wireshark-common选择yes,非root用户也能抓包3. 安装完成之后查看用户组,查看已创建...
  • Linux下安装和运行Wireshark

    万次阅读 2017-06-04 10:00:59
    一、安装  以root用户运行:yum install wireshark   二、运行  在终端中键入命令: #wireshark ... bash:wireshark:command not found... wireshark: /usr/lib/wireshark /usr/share/wireshark    #cd /usr
  • wireshark条件过滤后的数据包怎么保存,首先,用条件选择来过滤得到自己想要的数据,然后点击FILE->Export Specified Packets
1 2 3 4 5 ... 20
收藏数 46,697
精华内容 18,678
关键字:

wireshark