精华内容
下载资源
问答
  • Wireshark捕获得到的数据包,不同颜色代表的不同含义
  • Wireshark

    2017-07-27 13:54:27
    Wireshark

    Wireshark

    使用wireshark需了解网络协议,且wireshark只能查看封包,不能修改封包的内容,或发送封包。Wireshark能获取HTTP,也能获取HTTPS,但不能解密HTTPS,如果是处理HTTP,HTTPS还是用Fiddler,其它协议比如TCP,UDP就用wireshark。

     

    Wireshark 报文颜色显示:

    绿色:TCP报文;

    深蓝色:DNS;

    浅蓝色:UDP;

    黑色:有问题的TCP报文(如乱序报文)。

     

    封包详细信息:

    Fram:物理层的数据帧概况;物理层

    Ethernet IT:数据链路层以太网帧头部信息;数据链路层

    Internet Protocol Version 4:互联网层IP包头部信息;网络层

    Transmission Control Protocol:传输层T的数据段头部信息,此处是TCP;传输层

    Hypertext Transfer Protocol:应用层的信息,如HTTP协议等。应用层

    展开全文
  • WireShark

    2019-10-03 23:38:11
    Wireshark 介绍 Wireshark(前称Ethereal):是一个开源的网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据...

    Wireshark

    介绍

    Wireshark(前称Ethereal):是一个开源的网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

    官网地址:https://www.wireshark.org/

    wireshark与Fiddler的区别

    应用层方面

    Fiddler:用来捕获HTTP,HTTPS的并且可以对包内容进行修改.

    wireshark:能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容.

    Fiddler更优秀一些.

    通信层方面

    wireshark可以获取TCP和UDP的传输包

    与网络有关的还是使用wireshark比较合适.

     

    使用介绍

    开始页面

    wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。

    点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包

    点击start开始

    WireShark 主要分为这几个界面

    1. Display Filter(显示过滤器),  用于过滤

    2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同.

    3. Packet Details Pane(封包详细信息), 显示封包中的字段

    4. Dissector Pane(16进制数据)

    5. Miscellanous(地址栏,杂项)

     

    封包详细信息

    这个是最核心的功能,用来查看协议中的每一个字段。

    各行信息分别为

    Frame:   物理层的数据帧概况-----------------------------OSI物理层

    Ethernet II: 数据链路层以太网帧头部信息------------------------OSI链路层

                                             ----------tcp/IP物理层

    Internet Protocol Version 4: 互联网层IP包头部信息--------------------OSI网络层

                                             ----------tcp/ip网络层

    Transmission Control Protocol:  传输层T的数据段头部信息,此处是TCP------------OSI传输层/通信层

                                             -----------tcp/ip传输层/通信层

    Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议---------------OSI会话,表示,应用层

                                             -----------tcp/ip应用层

     

    关于tcp的详解

    tcp报文格式http://www.360doc.com/content/12/1218/10/3405077_254718387.shtml

    第一次握手 客户传递了一个 SYN=1(标识) SEQ=0----我要连接了,我的序列号给你,进入等待应答状态

    第二次握手 服务端根据客户端的SEQ生成了一个ACK=SEQ+1 =0+1,并返回一个自己的SEQ----我收到了你的连接,按约定(你的序列号+1)返回确认号,并给你我的序列号

    第三次握手 客户端获得服务端的ACK,发现一致(ACK-1=第一次握手发送的SEQ)后,回复一个ACK=SEQ+1=1和重新生成了一个新的SEQ发送给服务端---- 我收到了你的连接,先换算是否正确(你的响应-1),确认后返回同                                                                                   第二次握手一样发送确认号和序列号

    至此连接建立

    图片更正,第三次挥手是ACK=X+1,第四次挥手的ACK=Y+1(图片抄袭来的,应该是写错了)

    第一次挥手: 发起方 FIN=1 SEQ=1 ACK=1----------- 发起方的数据传输完毕了(FIN=1),准备关闭通道(进入wait状态),给你的我序号,等你应答

    第二次挥手: 接收方 ACK=1+1 SEQ=1--------------- 服务端收到你的请求,先应答你一下ACK=你的序列号+1,但是别关闭FIN=0(就是没有传FIN),我还需要传输数据

    第三次挥手: 接收方 FIN=1 ACK=1+1--------------- 服务端传输完毕了,你关闭通道吧(FIN=1) 应答还是用第二次挥手时用的

    第四次挥手: 发起方 ACK=1+1 SEQ=2----------------发起方收到请求,给你最终确认ACK=你的序列号+1

    至此连接关闭

     

    转载于:https://www.cnblogs.com/sunfan1988/p/4158043.html

    展开全文
  • Wireshark中标记颜色后如何取消? 在抓包栏右键标颜色后colorize with filter后用菜单的view里reset colorize 1~10来取消。 Ctrl+space取消颜色标记,但这个热键和拼音输入法的冲突了,所以必须在页面上使用...

                       wireshark里有时为了方便查看相关的包,可以选中一个特征的内容进行颜色标记,需要取消时,按下面的操作。

    在抓包栏右键标颜色后colorize with  filter后用菜单的viewreset colorize 1~10来取消。

    如下面过滤sip消息,用一次通话中不变的callid进行标记。

     

     

     

     

                 

    取消操作

     

    Ctrl+space取消颜色标记,但这个热键和拼音输入法的冲突了,所以必须在页面上使用。注意取消时,光标不能在所标记的行。

    展开全文
  • wireshark

    2017-02-13 10:34:38
    wireshark 博客分类: 网络 之前写过一篇博客:用 Fiddler来调试HTTP,HTTPS。 这篇文章介绍另一个好用的抓包工具wireshark,用来获取网络数据封包,包括http,TCP,UDP,等网络协议包。 记得大学的...

    wireshark

     

    之前写过一篇博客:用 Fiddler 来调试HTTP,HTTPS。 这篇文章介绍另一个好用的抓包工具wireshark, 用来获取网络数据封包,包括http,TCP,UDP,等网络协议包。

    记得大学的时候就学习过TCP的三次握手协议,那时候只是知道,虽然在书上看过很多TCP和UDP的资料,但是从来没有真正见过这些数据包, 老是感觉在云上飘一样,学得不踏实。有了wireshark就能截获这些网络数据包,可以清晰的看到数据包中的每一个字段。更能加深我们对网络协议的理解。
    对我而言, wireshark 是学习网络协议最好的工具。

     

    阅读目录

    1. wireshark介绍
    2. wireshark不能做的
    3. wireshark VS Fiddler
    4. 同类的其他工具
    5. 什么人会用到wireshark
    6. wireshark 开始抓包
    7. wireshark 窗口介绍
    8. wireshark 显示过滤
    9. 保存过滤
    10. 过滤表达式
    11. 封包列表(Packet List Pane)
    12. 封包详细信息 (Packet Details Pane)
    13. wireshark与对应的OSI七层模型
    14. TCP包的具体内容
    15. 实例分析TCP三次握手过程

     

    wireshark介绍

    wireshark的官方下载网站: http://www.wireshark.org/

    wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。

    wireshark是开源软件,可以放心使用。 可以运行在Windows和Mac OS上。

     

    使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。

    Wireshark不能做的

    为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。

     

    Wireshark VS Fiddler

    Fiddler是在windows上运行的程序,专门用来捕获HTTP,HTTPS的。

    wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容

     

    总结,如果是处理HTTP,HTTPS 还是用Fiddler,  其他协议比如TCP,UDP 就用wireshark

    同类的其他工具

    微软的network monitor

    sniffer 

     

    什么人会用到wireshark

    1. 网络管理员会使用wireshark来检查网络问题

    2. 软件测试工程师使用wireshark抓包,来分析自己测试的软件

    3. 从事socket编程的工程师会用wireshark来调试

    4. 听说,华为,中兴的大部分工程师都会用到wireshark。

     

    总之跟网络相关的东西,都可能会用到wireshark.

    wireshark 开始抓包

    开始界面

    wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。

    点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包

     

    Wireshark 窗口介绍

     

    WireShark 主要分为这几个界面

    1. Display Filter(显示过滤器),  用于过滤

    2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表

    3. Packet Details Pane(封包详细信息), 显示封包中的字段

    4. Dissector Pane(16进制数据)

    5. Miscellanous(地址栏,杂项)

     

    Wireshark 显示过滤

    使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。

    过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

    过滤器有两种,

    一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录

    一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。 在Capture -> Capture Filters 中设置

     

    保存过滤

    在Filter栏上,填好Filter的表达式后,点击Save按钮, 取个名字。比如"Filter 102",

    Filter栏上就多了个"Filter 102" 的按钮。

    过滤表达式的规则

    表达式规则

     1. 协议过滤

    比如TCP,只显示TCP协议。

    2. IP 过滤

    比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,

    ip.dst==192.168.1.102, 目标地址为192.168.1.102

    3. 端口过滤

    tcp.port ==80,  端口为80的

    tcp.srcport == 80,  只显示TCP协议的愿端口为80的。

    4. Http模式过滤

    http.request.method=="GET",   只显示HTTP GET方法的。

    5. 逻辑运算符为 AND/ OR

    常用的过滤表达式

    过滤表达式用途
    http只查看HTTP协议的记录
    ip.src ==192.168.1.102 or ip.dst==192.168.1.102 源地址或者目标地址是192.168.1.102
      
      

     

     

     

     

     

     

     

    封包列表(Packet List Pane)

    封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。 你可以看到不同的协议用了不同的颜色显示。

    你也可以修改这些显示颜色的规则,  View ->Coloring Rules.

     

    封包详细信息 (Packet Details Pane)

    这个面板是我们最重要的,用来查看协议中的每一个字段。

    各行信息分别为

    Frame:   物理层的数据帧概况

    Ethernet II: 数据链路层以太网帧头部信息

    Internet Protocol Version 4: 互联网层IP包头部信息

    Transmission Control Protocol:  传输层T的数据段头部信息,此处是TCP

    Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议

     

    wireshark与对应的OSI七层模型

    TCP包的具体内容

     从下图可以看到wireshark捕获到的TCP包中的每个字段。

     

     

    实例分析TCP三次握手过程

    看到这, 基本上对wireshak有了初步了解, 现在我们看一个TCP三次握手的实例

     

     三次握手过程为

     

    这图我都看过很多遍了, 这次我们用wireshark实际分析下三次握手的过程。

    打开wireshark, 打开浏览器输入 http://www.cnblogs.com/tankxiao

    在wireshark中输入http过滤, 然后选中GET /tankxiao HTTP/1.1的那条记录,右键然后点击"Follow TCP Stream",

    这样做的目的是为了得到与浏览器打开网站相关的数据包,将得到如下图

    图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。

     

    第一次握手数据包

    客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。 如下图

    第二次握手的数据包

    服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

    第三次握手的数据包

    客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:

     就这样通过了TCP三次握手,建立了连接


    展开全文
  • Wireshark色彩规则。”在Wireshark主界面,报文会显示各种各样的颜色,它们表示不同的含义。这些颜色,是由色彩规则控制的。对这些颜色进行适当的了解,对分析...
  • wireshark入门

    千次阅读 2019-07-31 15:28:34
    1.简介 Wireshark(前称Ethereal)是一个免费开源的网络数据包分析软件。...wireshark界面主要分为过滤器、包列表(不同的颜色代表不同的协议包)、包详细信息、16进制数据和地址栏等,他们的位置如图所...
  • Wireshark 实验

    2020-12-26 12:11:06
    Wireshark抓包数据分析 数据链路层 实作一: 熟悉 Ethernet 帧结构 使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。 wireshark启动后,wireshark处于抓包状态中。 ...
  • 初学Wireshark

    2018-03-02 11:43:18
    、打开这个小鲨鱼图标:2、选择网卡(可以直接在这里过滤),开始(蓝色的是开始,红色的是结束,圆的是重新开始一个抓包):3、不同颜色代表不同性质的数据包,可在视图中查看着色规则:4、选中一条流量包之后,...
  • wireshark使用

    2014-01-15 11:32:04
    wireshark介绍wireshark不能做的wireshark VS Fiddler同类的其他工具什么人会用到wiresharkwireshark 开始抓包wireshark 窗口介绍wireshark 显示过滤保存过滤过滤表达式封包列表(Packet List Pane)封包详细信息 ...
  • 后期会通过到处文本的方式进行注释,前期先使用图片,这样容易用颜色区分 在包的详细信息界面一般如下: Frame 物理层的数据帧概况,如果图片太小可以去github上下载对应的图片查看 Ethernet II 数据链路层以太网...
  • Wireshark实验

    2020-12-24 13:29:25
    Wireshark 实验数据链路层网络层传输层应用层 3. Wireshark 实验 数据链路层 实作一: 熟悉 Ethernet 帧结构 使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。 问题 ...
  • wireshark 使用

    2019-11-25 20:41:28
    wireshark抓包新手使用教程 Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。本文主要内容包括: 1、Wireshark软件下载和安装以及...
  • wireshark教程

    2019-09-25 23:05:13
    wireshark怎么抓包、wireshark抓包详细图文教程 wireshark怎么抓包、wireshark抓包详细图文教程 wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信...
  • Wireshark Filters

    2013-06-23 16:18:18
    下面这篇链接是一个比较general的介绍: How to Use Wireshark to Capture, Filter and Inspect Packets   然而, 默认情况下wireshark会把网络上所有的包都抓过来,所以结果中有很多我们不想去关心的信息.  ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,901
精华内容 1,160
关键字:

wireshark颜色