精华内容
下载资源
问答
  • $Id: README,v 1.54 2002/01/29 09:45:55 guy Exp $ General Information ------- ----------- Ethereal is a network traffic analyzer, or "sniffer", for Unix and Unix-like operating systems....
  • wireshark网络抓包教程

    2014-06-02 08:58:25
    使用wireshark进行网络抓包,首先前提条件是需要一个HUB,将盒端,网络端和电脑端,三方连接在同一个IP端内进行。然后按文档部分抓包即可。
  • Wireshark抓包工具

    2018-05-30 10:19:08
    Wireshark抓包工具Wireshark抓包工具Wireshark抓包工具Wireshark抓包工具Wireshark抓包工具
  • Wireshark数据抓包教程之Wireshark捕获数据

    Wireshark数据抓包教程之Wireshark捕获数据

    Wireshark抓包方法

    在使用Wireshark捕获以太网数据,可以捕获分析到自己的数据包,也可以去捕获同一局域网内,在知道对方IP地址的情况下,捕获到对方的数据包。

    Wireshark捕获自己的数据包

    如果客户端经过路由器直接上网,如图1.28所示。在该图中,PCA安装Wireshark,可以在该主机上直接捕获自己的数据。


    1.28  在主机上捕获数据

    Wireshark捕获别人的数据包

    如果都在一个局域网内,而且知道别人的IP地址的话,也可以利用Wireshark捕获到别人的数据包。具体方法如下:

    1.端口映射

    局域网内,在同一交换机下工作的PC机,如图1.29所示。PCAPCB在同一交换机下工作,PCA安装Wireshark后,把交换机上任意一个PC机的数据端口做镜像,设置交换机来复制所有数据到用户交换端口下的Wireshark端口,这时PCA就可以抓取到其他PC机的数据了,如抓取PCB的数据。

    2.使用集线器

    我们可以把图1.29中的交换机换成集线器,这样的话所有的数据包都是通发的。也就是说,不管是谁的数据包都会发到这个集线器上的每一个计算机。只要将网卡设置为混杂模式就能抓到别人的包。

    3.利用ARP欺骗

    我们都知道,发送、接受数据都要经过路由器,如图1.30所示。该图中PCA安装Wireshark后,可以利用ARP欺骗,来抓取PCBPCCPCBPCC之间的数据包了。PCA在局域网内发送ARP包,使其他计算机都误以为它是网关。这样的话,其他计算机都会将它们的数据包发送到PCA那里,因此PCA就可以抓到它们的包了。


    1.29  捕获PCB数据包              1.30  捕获数据包

    Wireshark捕获数据

    通过上述的学习,下载安装好Wireshark后,就可以利用它来捕获数据了。下面以开发版(中文版)1.99.7为例讲解如何来捕获数据。

    Wireshark如何捕获数据

    Windows窗口程序中启动Wireshark,如图1.31所示的界面。


    1.31  Wireshark主界面 1.32  捕获网络数据

    在该界面可以看到本地连接、VMware Network Adapter VMnet1VMware Network Adapter VMnet8,这是3个捕获网络接口。本机中有3个,如果使用其他电脑网络捕获接口可能是不同的。只有选择了捕获网络接口,才能进行捕获网络数据。因此首先选择网络接口。这里选择本地连接作为捕获网络接口,然后单击图中按钮,将进行捕获网络数据,如图1.32所示。 

    单击图中的按钮停止捕获。我们可以把捕获到的数据保存起来。单击图中的按钮,显示如图1.33所示的界面。


    1.33  保存捕获数据 1.34  打开捕获文件

    在该界面可以选择保存捕获数据的位置,并对保存的文件进行命名。然后单击“保存”按钮即可。这里保存在桌面,文件名称为Wireshark

    Wireshark打开捕获文件

    当我们把捕获到的数据保存起来,以便下次查看。那么怎么去打开已经捕获好的文件呢?这里将做一个介绍。

    1在启动Wireshark的界面中,单击打开按钮,弹出打开对话框,如图1.34所示。 

    2在该界面选择捕获文件保存的位置,然后单击“打开”按钮即可打开捕获的文件。

    Wireshark快速入门

    在学会使用Wireshark捕获数据的基础上,还要进一步的理解Wireshark各部分的用途。本节将进行详细讲解。

    Wireshark主窗口界面介绍

    打开一个捕获文件,如图1.35所示:


    1.35  Wireshark主窗口界面   1.36  菜单栏

    在图1.35中,以编号的形式已将Wireshark每部分标出。下面分别介绍每部分的含义,如下所示:

    • q  ①标题栏——用于显示文件名称、捕获的设备名称。

    • q  ②菜单栏——Wireshark的标准菜单栏。

    • q  ③工具栏——常用功能快捷图标按钮。

    • q  ④显示过滤区域——减少查看数据的复杂度。

    • q  Packet List面板——显示每个数据帧的摘要。

    • q  Packet Details面板——分析封包的详细信息。

    • q  Packet Bytes面板——以十六进制和ASCII格式显示数据包的细节。

    • q  ⑧状态栏——分组、已显示、已标记帧的数量,配置文件。

    以上简单的介绍了Wireshark主窗口界面的各部分的含义,下面对每一个部分进行详细的介绍

    Wireshark菜单栏介绍

    Wireshark的菜单栏界面如图1.36所示。在该界面中被涂掉的两个菜单,在工具栏中进行介绍。 

    该菜单栏中每个按钮的作用如下所示:

    • q  文件:打开文件集、保存包、导出HTTP对象。

    • q  编辑:搜索包、标记包及设置时间属性等。

    • q  视图:查看/隐藏工具栏和面板、编辑Time列、重设颜色等。

    • q  分析:创建显示过滤器宏、查看启用协议、保存关注解码。

    • q  统计:构建图表并打开各种协议统计窗口。

    • q  电话:执行所有语音功能(图表、图形、回放)

    • q  蓝牙:ATT服务设置。

    • q  帮助:学习Wireshark全球存储和个人配置文件

    Wireshark工具栏介绍

    当用户详细了解工具栏中每个按钮的作用后,用户就可以快速的进行各种操作。在工具栏中,每个按钮的作用如图1.37所示。


    1.37  工具栏   1.38  Wireshark面板

    Wireshark面板介绍

    Wireshark有三个面板,分别是Packet List面板、Packet Details面板、Packet Bytes面板。这三个面板的位置,如图1.38所示。 

    在该界面将三个面板已经标出。这三个面板之间是互相关联的,如果希望在Packet Details面板中查看一个单独的数据包的具体内容,必须在Packet List面板中单击选中那个数据包。选中该数据包之后,才可以通过在Packet Details面板中选择数据包的某个字段进行分析,从而在Packet Bytes面板中查看相应字段的字节信息。下面介绍面板的内容。

    1.Packet List面板

    该面板用表格的形式显示了当前捕获文件中的所有数据包。从图1.38中,可以看到该面板中共有七列,每列内容如下所示:

    • q  NoNumber)列:包的编号。该编号不会发生改变,即使使用了过滤也同样如此。

    • q  Time列:包的时间戳。时间格式可以自己设置。

    • q  SourceDestination列:显示包的源地址和目标地址。

    • q  Protocol列:显示包的协议类型。

    • q  Length列:显示包的长度。

    • q  Info列:显示包的附加信息。

    在该面板中,可以对面板中的列进行排序、调整列位置、隐藏列、显示列、重命名或删除列等操作。下面以例子的形式将分别介绍在该面板中可操作的功能。

    【实例1-4】演示Packet List面板中可实现的功能。如下所示:

    1列排序

    打开一个捕获文件http.pcapng,如图1.39所示。


    1.39  http.pcapng捕获文件 1.40  排序Protocol

    该界面显示了http.pcapng捕获文件中的数据包。默认Wireshark是以数据包编号由低到高排序。例如,要对Protocol列排序,单击Protocol列标题,将显示如图1.40所示的界面。

    将该界面与图1.39进行比较,可以发现有很大变化。从该界面可以看到No列的顺序发生了变化,协议列开始都为ARP

    2移动列位置

    如移动http.pcapng捕获文件中的Protocol列,到Time后面。使用鼠标选择Protocol列,然后拖拽该列到Time后面,将显示如图1.41所示的界面。


    1.41  移动Protocol 1.42  列操作选项

    3隐藏、重命名、删除列

    在捕获文件http.pacpng中,右键单击Packet List面板的任意列标题,将弹出一个下拉菜单,如图1.42所示。

    • q  隐藏列、恢复列:在弹出的菜单中可以看到Packet List面板中的七列标题前都有对勾。想隐藏哪列,单击该列,对勾消失菜单消失该列隐藏。如想恢复该列,右击Packet List面板中任意列的标题,以同样的方式即可恢复。

    • q  重命名列:在弹出的菜单中单击编辑列,显示如图1.43所示的界面。


    1.44  Wireshark首选项

    该界面出现在Packet List面板的上方,在该界面的左端的标题文本框进行重命名。然后单击右端的确定按钮即可

    • q  删除列、恢复列:在弹出的菜单中单击最下面的删除本列选项即可。恢复列需单击Column Preferences...选项,(或者在菜单栏中依次选择“编辑”|“首选项”,在弹出的界面左侧单击列即可)弹出Wireshark首选项框。如图1.44所示。 

    单击左下角的按钮,自动新建了一个标题为New Column的列,并且类型为Number。可以双击标题和类型进行更改。创建好以后单击OK按钮即可。

    Wireshark中,还可以对Packet List面板中所有数据包进行许多操作,如标记、忽略、设置分组等。用户可以通过右键单击任何一个数据包,查看可用的选项,如图1.45所示。


    1.45  可用选项 1.46  菜单栏 

    在该界面显示了在Packet List面板中,数据包的可用选项。在该选项中,使用标记分组可以快速的找出有问题的数据包。

    2.Packet Details面板

    该面板分层次地显示了一个数据包中的内容,并且可以通过展开或收缩来显示这个数据包中所捕获到的全部内容。

    Packet Details面板中,默认显示的数据的详细信息都是合并的。如果要查看,可以单击每行前面的小三角展开帧的会话。用户也可以选择其中一行并右键单击,弹出菜单栏。如图1.46所示。 

    在菜单栏中选择展开子树(单个会话)或展开全部会话。

    3.Packet Bytes面板

    该面板中的内容可能是最令人困惑的。因为它显示了一个数据包未经处理的原始样子,也就是其在链路上传播时的样子。

    在该面板中的数据是以十六进制和ASCII格式显示了帧的内容。当在Packet Details面板中选择任意一个字段后,在Packet Bytes面板中包含该字段的字节也高亮显示。如果不想看到Packet Bytes面板的话,可以在菜单栏中依次选择“视图”|“分组字节流(B)”命令将其关闭。当查看的时候,使用同样的方法将其打开。

    Wireshark状态栏介绍

    状态栏是由两个按钮和三列组成的。其中,这三列的大小在必要时可以调整。状态栏中每部分含义如图1.47所示。


    1.47  状态栏

    下面分别详细介绍下状态栏中每部分的作用。如下所示:

    • q  :该按钮是专家信息按钮。该按钮的颜色是为了显示包含在专家信息窗口中最高水平的信息。专家信息窗口可以提醒用户,在捕获文件中的网络问题和数据包的注释

    • q  :该按钮是捕获文件注释按钮。单击该按钮,可以添加、编辑或查看一个捕获文件的注释。该功能只可以在以.pcapng格式保存的捕获文件使用。

    • q  第一列(获取字段、捕获或捕获文件信息):当在捕获文件中选择某个字段时,在状态栏中将可以看到文件名和列大小。如果点击Packet Bytes面板中的一个字段,将在状态栏中会显示其字段名,并且Packet Details面板也在发生着变化。

    • q  第二列(包数):当打开一个捕获文件时,在状态栏中的第二列将显示该文件的总包数。在图1.47中,显示了捕获的数据包数量、显示包数和加载时间。如果当前捕获文件中有包被标记,则状态栏中将会出现标记包数。

    • q  第三列(配置文件):表示当前使用的文件。在图1.47中,表示正在使用Default 文件。文件可以创建,这样就可以自己定制Wireshark的环境。

    本文选自:Wireshark数据抓包基础教程大学霸内部资料,转载请注明出处,尊重技术尊重IT人!


    展开全文
  • Wireshark网络抓包工具

    2021-08-19 09:41:39
    常用功能介绍5.1 网络接口选择5.2 抓包规则设定5.3 查找目标数据包5.4 快速选择过滤数据包5.5 标记数据包5.6 合并数据包文件5.7 数据包的导出5.8 数据包分析5.9 设定过滤器5.10 统计摘要查看5.11 会话统计5.12 结束...

    1. Wireshark软件简介

    Wireshark是网络包分析工具,可以捕获多种网络接口类型的包,甚至包括无线局域网接口网络。包分析工具的主要作用是尝试分析捕获到的数据包,并尝试显示数据包尽可能详细的信息。

    Wireshark是开源软件项目,用GPL(General Public License)协议发行。可以免费在任意数量的机器上使用,不用担心授权和付费问题,所有的源代码在GPL框架下都可以免费使用。因为以上原因,人们可以很容易在Wireshark上添加新的协议,或者将其作为插件整合到自己的程序里,这种应用十分广泛。

    2. Wireshark下载

    • FTP下载:
      ftp://192.168.3.222/测试软件/Wireshark-win32-1.11.2.1339076 454 .exe

    • 官方网站:
      wireshark官方网站

    • 怕麻烦或者不太方便的同学们也不用怕,笔者已经下载好了打包上传到CSDN(附赠网络测试培训文档),点击链接下载即可:
      笔者下载包(附赠网络测试培训文档)

    • (注:安装Wireshark之前必须安装WinPcap,因为Wireshark只是一个显示工具,真正实现抓包的软件是WinPcap。笔者上传的安装包包含WinPcap,所以不需要单独下载安装。)

    3. Wireshark安装

    1. 打开安装程序“Wireshark-win32-1.11.2.exe”,点击
      在这里插入图片描述
    2. 点击[Next],如图
      在这里插入图片描述
    3. 点击[I Agree],如图
      在这里插入图片描述
    4. 点击[Next],如图
      在这里插入图片描述
    5. 点击[Next],如图
      在这里插入图片描述
    6. 设置好安装路径,点击[Next],如图
      在这里插入图片描述
    7. 如果电脑中没有安装WinPcap,在该页面中选择安装。点击[Install],开始安装Wireshark,如图
      在这里插入图片描述
      在这里插入图片描述
    8. 安装WinPcap,点击[Next],如图
      在这里插入图片描述
    9. 点击[I Agree],如图
      在这里插入图片描述
    10. 启动自启功能,点[Install],如图
      在这里插入图片描述
    11. WinPcap安装成功,点[Finish],如图
      在这里插入图片描述
    12. 点[Next],如图
      在这里插入图片描述
    13. 点[Finish],完成安装,如图
      在这里插入图片描述

    注:Wireshark找不到网卡怎么办?

    • 第一种方法:
      在安全模式下启动电脑,将C:\WINDOWS\System32\drivers下的nvmini.sys删除,新建一个文本文件,命名为nvmini.sys,并将属性改为只读。nvmini.sys是一个系统驱动文件,容易感染病毒会导致Wireshark找不到网卡。退出安全模式,重新启动电脑即可。

    • 第二种方法:
      命令行执行 net start npf,如果无法打开,我的电脑->管理->设备管理器,单击查看-显示隐藏的设备,然后找到NetGroup Packet Filter Driver将驱动程序类型设为系统 ,然后重启电脑。再start一遍。(网上有资料说能看到NetGroup Packet Filter Driver是表示中毒了,按照此方法排查过可能中毒的文件夹,没找到病毒)

    4. 页面介绍

    1. 启动Wireshark,打开首页,如图
      在这里插入图片描述
    2. 点击Start,进入抓包界面,如图
      在这里插入图片描述
    3. 进入本地抓包界面,如图
      在这里插入图片描述
    4. Wireshark界面有5个部分:
    • 命令菜单(The Menus):位于窗口的顶部,为标准的弹出式菜单,其中File与Capture菜单项是常用的。捕获(Capture)项:接口(Interface)选择捕获数据包的网卡;选择(Options)选择过滤包的条件。
    • 数据包显示过滤区域(The Packet Display Filter Field):在这一区域中,输入协议名称或其他信息,来过滤数据包列表窗口中(及数据包头、数据包主体窗口)的信息。
    • 数据包列表窗口(The Packet List pane):将捕获到的每个数据包显示为一行,包含数据包编号(由Wireshark指定的,不是协议中的开头部分的编号)、捕获数据包的时间、数据包的源和目的地址,协议类型及数据包中的协议规范信息。协议列(Protocol)列出了本数据包发送或接受的最高层协议。
    • 数据包详细信息窗口(The Packet Details pane):按照OSI七层模型显示选择数据包的结构,不同的协议用不同的颜色表示,显示数据包的信息。对数据包列表窗口中所选择(高亮度)的数据包的详细信息(为了分析一个数据包,移动光标到数据包的那一行,单击鼠标左键)进行显示,这些信息包括:以太数据帧、包含此数据包的IP数据报文。以太网和IP层等信息显示的数量可以缩放或最小化,这只要通过单击窗口内的“+” 和“-”就可以。如果数据包通过TCP或UDP传输,TCP与UDP的详细信息就显示出来,也可以简单的缩放和最小化。
    • 数据包字节窗口(The Packet Bytes pane):显示捕获到的每一帧的所有内容,用十六进制及ASCII显示。
    1. 点击Stop the running live capture,停止抓包,如图
      在这里插入图片描述

    5. 常用功能介绍

    5.1 网络接口选择

    选择菜单项Capture->Interfaces,或点击“工具栏”左边第一个按钮,如图19。可以选择可用网络接口,点击“Start”按钮开始抓包,如图
    在这里插入图片描述

    5.2 抓包规则设定

    选择菜单项Capture->Options,或点击“工具栏”左边第二个按钮,弹出Capture Options窗口,可以对抓包规则进行详细设定,如图
    在这里插入图片描述

    设置网卡是否为混杂捕获模式(Capture packets in promiscuous mode)

    • 在普通模式下,Wireshark捕获满足以下条件的包:含本网卡地址单播包、具有多播地址且与本网卡地址配置相吻合的数据包、广播包,其他的包一律丢弃。

    • 在混杂模式下,Wireshark除捕获上述类型的数据包外,接收所有经过网卡的数据包,包括不是发给本机的包,即不验证MAC地址。一般来说,混杂模式不会影响网卡的正常工作,多在网络监听工具上使用。

    5.3 查找目标数据包

    菜单EditFind Packet,弹出查找数据包对话框,如图22。在对话框中输入要查找包的关键字或表达式就可以了,可以选择是针对过滤的包进行查找还是通过16进制值进行查找,或是通过字符串进行查找;查找到目标包以后可以通过ctrl+n组合键继续查找下一个;ctrl+b查找上一个。

    常见错误:
    在组合表达式中使用"!="操作符,像eth.addr,ip.addr,tcp.port,udp.port等元素可能会产生非预期效果。例如要构造表达式来排除ip地址为1.2.3.4的数据包,正确的表达式应该是 !(ip.addr == 1.2.3.4)而不是ip.addr != 1.2.3.4。
    在这里插入图片描述

    5.4 快速选择过滤数据包

    在数据包列表窗口中选择所需要的数据包,右键菜单选择Apply as Filter->selected,可以以选中的数据包作为过滤器,选择需要的数据包,如图
    在这里插入图片描述
    另外,也可以构建过滤表达式,来过滤那些不感兴趣的数据包。Wireshark提供了简单而强大的过滤语法,可以用它们建立复杂的过滤表达式。数据包列表窗口的每个字段都可以作为比较值,通过在许多不同的比较操作建立比较过滤。应用这些作为过滤将会仅显示包含该字段的包。例如:过滤字符串:TCP,将会显示所有包含TCP协议的包。

    • 表1 过滤比较操作符
    名称符号范例
    相等==ip.addr==10.0.0.5
    不相等!=ip.addr!=10.0.0.5
    包长度大于>frame.pkt_len>10
    包长度小于<frame.pkt_len<128
    包长度大于等于>=frame.pkt_len ge 0x100
    包长度小于等于<=frame.pkt_len <= 0x20
    • 表2 过滤逻辑操作符
    名称符号范例
    &&ip.src192.168.0.0/16 and ip.dst192.168.0.0/16
    l lip.addr==10.0.0.5 or icmp
    !not tcp

    5.5 标记数据包

    为了方便查找与操作,可以将感兴趣的包做上标记以便迅速找到,选中某个包,然后点击右键菜单,选择“Mark packet”就可以了,如图
    在这里插入图片描述

    5.6 合并数据包文件

    有时候需要将多个捕获文件合并到一起。例如:如果对多个接口同时进行捕获,合并就非常有用。可以使用如下方法合并捕获文件:

    • File->Merge,弹出合并捕获文件对话框,如图25。通过该对话框可以选择需要合并的文件,与当前打开的数据包文件进行合并。
      可以通过以下三种方式合并:将数据包插入已存在文件前、按时间顺序合并文件、追加包到当前文件。

    • 使用拖放功能,将多个文件同时拖放到主窗口。Wireshark会创建一个临时文件尝试对拖放的文件按时间顺序进行合并。如果只拖放一个文件,Wireshark只是简单地替换已经打开的文件。

    在这里插入图片描述

    5.7 数据包的导出

    file->Export,弹出导出数据包对话框,如图26。在该对话框中,可以选择要导出文件存放的路径。导出与保存的区别:用户通过导出可以自主选择要导出哪个数据包,而保存是保存当前软件捕获的所有数据包,不能对保存的具体数据包进行选择。有三种导出方式:导出所有的数据包;导出在数据包列表中选择的数据包;导出标记的数据包;导出第一个标记到最后一个标记的数据包;选择数据包的范围(如5,10,11-20)导出数据包。如果选择的范围内,有忽略的数据包,还可以选择移除忽略的数据包。
    在这里插入图片描述

    5.8 数据包分析

    菜单Analyze->Expert Infos菜单项,或者点击下图中左下角的按钮

    • 按钮为“红色”:捕获的数据包达到了Error类型;
    • 按钮为“黄色”:捕获的数据包达到了Warning类型;
    • 按钮为“绿色”:捕获的数据包类型达到了Notes类型;
    • 按钮为“蓝色”:捕获的数据包类型达到Chats类型)。
    1. 可以查看Wireshark对捕获的数据包的分析,如图
      在这里插入图片描述

    2. 弹出具体信息窗口,共有80条信息,如图

    在这里插入图片描述

    1. 抓包结果的存放地址,丢包率查看,如图

    在这里插入图片描述

    5.9 设定过滤器

    Analyze->Display Filter,弹出过滤器列表,可以编辑过滤数据包依据的规则,修改可以通过先删除再添加实现,如图
    在这里插入图片描述
    创建过滤宏
    Analyze->Display Filter Macros,是用来创建复杂显示过滤器的快捷方式的工具。

    5.10 统计摘要查看

    Statistics->Summary,弹出下面的窗口,如图33_1,33_2。统计摘要主要包括当前网络数据包文件的一些基本信息。比如文件名、文件大小、第一个包和最后一个包的时间戳、网络传输的相关统计等。如果设置了显示过滤,统计信息会显示成两列。Captured列显示过滤前的信息,Displayed列显示过滤后对应的信息。

    在这里插入图片描述

    在这里插入图片描述

    5.11 会话统计

    一个网络会话,指的是两个特定端点之间发生的通信。例如,一个IP会话是两个IP地址间的所有通信。

    Statistics->Conversations,弹出会话统计信息窗口,如图。在该窗口中,每个支持的协议,都显示为一个选项卡。选项标签显示被捕获端点数目(例如:“Ethernet:30”表示有30个Ethernet端点被捕获到)。如果某个协议没有端点被捕获到,选项标签显示为灰色。列表中每行显示单个端点的统计信息。

    在这里插入图片描述

    5.12 结束点统计

    从Statistics->Endpoints,打开数据包传送中按结束点统计的信息窗口,如图。
    按照协议显示结束点的数据包的个数

    在这里插入图片描述
    会话统计与结束点统计的区别:会话统计是以数据包的接收发送端点进行的统计,结束统计是分别以数据包的两个端点为统计方式,进行的统计。

    5.13 流量统计曲线图

    从Statistics->IO Graphs,弹出流量统计信息窗口,如图。

    Wireshark根据用户配置生成曲线图。
    用户可以对一下内容进行设置:

    • Graphs
      • Graph 1-5: 开启1-5图表(默认仅开启graph 1)
      • Color: 图表的颜色(不可修改)
      • Filter: 指定显示过滤器
      • Style: 图表样式(Line/Impulse/FBar)
    • X Axis
      • Tick interval 设置X轴的每格代表的时间(10/1/0.1/0.01/0.001 seconds)
      • Pixels per tick 设置X轴每格占用像素 (10/5/2/1 pixels)
    • Y Axis
      • Unit y轴的单位(Packets/Tick, Bytes/Tick, Bits/Tick, Advanced…)
      • Scale Y轴单位的刻度(10,20,50,100,200,500,…)

    在这里插入图片描述

    5.14 数据包传送分析图

    Statistics->Graph Analysis,弹出数据包传送的分析图,如图。

    左侧一列为时间列,右侧一列是数据包的传送。从这里可以查看原地址和目标地址之间发送的数据包。
    在这里插入图片描述

    6. 实用过滤表达式(针对ip、协议、端口、长度和内容)

    首先说几个最常用的关键字,“eq” 和 “==”等同,可以使用 “and” 表示并且,“or”表示或者。“!" 和 "not” 都表示取反。

    1. 针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况且
    • 对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。
      表达式为:ip.src == 192.168.0.1

    • 对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。
      表达式为:ip.dst == 192.168.0.1

    • 对源或者目的地址为192.168.0.1的包的过滤,即抓取满足源或者目的地址的ip地址是192.168.0.1的包。
      表达式为:ip.addr == 192.168.0.1,
      或者 ip.src == 192.168.0.1 or ip.dst == 192.168.0.1

    • 要排除以上的数据包,我们只需要将其用括号囊括,然后使用 “!” 即可。
      表达式为:!(表达式)

    1. 针对协议的过滤
    • 仅仅需要捕获某种协议的数据包,表达式很简单仅仅需要把协议的名字输入即可。
      表达式为:http

    • 需要捕获多种协议的数据包,也只需对协议进行逻辑组合即可。
      表达式为:http or telnet (多种协议加上逻辑符号的组合即可)

    • 排除某种协议的数据包
      表达式为:not arp !tcp

    1. 针对端口的过滤(视协议而定)
    • 捕获某一端口的数据包
      表达式为:tcp.port == 80
    • 捕获多端口的数据包,可以使用and来连接,下面是捕获高端口的表达式
      表达式为:udp.port >= 2048
    1. 针对长度和内容的过滤
    • 针对长度的过虑(这里的长度指定的是数据段的长度)
      表达式为:udp.length < 30 http.content_length <=20

    • 针对数据包内容的过滤
      表达式为:http.request.uri matches “vipscu” (匹配http请求中含有vipscu字段的请求信息)

    通过以上的最基本的功能的学习,如果随意发挥,可以灵活应用,就基本上算是入门了。

    展开全文
  • Wireshark网络抓包入门之入门原理 Wireshark原理 网络抓包就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作。也用来检查网络安全,抓包也经常被用来进行数据截取等。 Wireshark软件功能:分析底层...

    Wireshark网络抓包入门之入门原理

    Wireshark原理

    网络抓包就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作。也用来检查网络安全,抓包也经常被用来进行数据截取等。

    Wireshark软件功能:分析底层协议、解决网络故障问题、找寻网络安全问题。

    Wireshark常用帮助网站: http://wiki.wireshark.org/ http://www.wireshark.org/ 中文帮助:科来网络分析系统

    Wireshark软件网络原理:
    本机环境:直接抓包本机网卡进出流量
    集线器环境:流量防洪,同一种突域
    交换机环境:端口镜像、ARP欺骗、MAC垃圾

    Wireshark软件底层原理
    5 GTK1/2 图像处理工具,处理用户的输入输出显示
    4 Core 核心引擎,通过函数调用将其他模块连接在一起,起到联度调用作用
    3 Wiretap 格式支持,从抓包文件中读取数据包,支持多种文件格式
    2 Capture 抓包引擎,利用libcap/winpcap从底层抓取网络数据包,lip/winpcap提供抓包接口
    1 Win-/lipcap Wireshark 抓包是依赖的库文件在这里插入图片描述

    展开全文
  • WireShark-抓包

    2019-09-26 23:24:20
    WireShark是在以太网层抓取有线数据包的工具,打开软件后选取网卡,设置过滤条件就可以进行抓包分析。 常用的过滤条件有:eth.dst==xx:xx:xx:xx:xx:xx、ip.addr==192.168.10.1、bootp、pppoed、ppp、dns、syslog、...

    WireShark是在以太网层抓取有线数据包的工具,打开软件后选取网卡,设置过滤条件可以进行抓包分析

    常用的过滤条件有:eth.dst==xx:xx:xx:xx:xx:xxip.addr==192.168.10.1bootppppoedpppdnssyslogdstdns

    可以先不设置过滤条件抓取报文,然后打开抓取到的报文选择其中的某个字段作为过滤器进行后续的抓包。

     

    Wireshark物理抓包,抓取的报文是进入到Wireshark运行主机上,即使选择了无线网卡,抓到的数据包也只能是主机和其他设备通信的报文。

    如果想要抓取其他设备之间的通信报文,则需要设置端口监控(镜像使得通信的报文可以往抓包主机。

     

     

    转载于:https://www.cnblogs.com/linxiu-0925/p/11157524.html

    展开全文
  • 最近多家用户报告相继中毒,通过对区级用户网络抓包分析后发现三级网内存在多种类型病毒,下面介绍局域网中如何通过设置镜像端口抓包流量通过Wireshark分析几种目前常见的病毒类型。 0x00 华为交换机镜像设置端口...
  • wireshark抓包分析,会抓包但是不会分析,那个高手我也是个初学者,我在用wireshark....如何用抓包工具wireshark对交换机其中一端口进行抓用39系列交换机镜像抓包配置方法: 一、3900端口镜像配置 步骤一 :[...
  • Panabit镜像功能配合wireshark抓包的方法 Panabit的协议识别都是基于数据包的特征,因此捕获数据包样本是我们进行识别第一步要做的事情。下面就和大家说一下如何捕获网络应用的数据包。到百度搜索wireshark,很...
  • 由于需要调试pc服务器打印胶片和设备上直接打印胶片之间的区别,研发要求我抓包分析2者之间的差别,但是很快面临一个问题,我没有权限动交换机的权限,他们也没有在交换机上配置端口镜像,于是只好去找小HUB,淘汰了...
  • 记得第一次接触抓包这玩意还是刚出来实习的时候呢,农村出来的娃孩子,在吃苦耐劳方面还真不是虚的。...步入音视频开发这个大坑以来,还是时不时的需要用到抓包这玩意,直至目前为止常用的就两玩意fiddler/Wireshark...
  • windows版本的wireshark镜像,用来网络抓包,可以安装在虚拟机的windows系统中,简单快捷方便
  • 本文将展示如何使用 tcpdump 抓包,以及如何用 tcpdump 和 wireshark 分析网络流量。文中的例子比较简单,适合作为入门参考。 1. 基础环境准备 为方便大家跟着上手练习,本文将搭建一个容器环境。 1.1 Pull Docker ...
  • wireshark抓包原理

    2021-08-04 17:08:37
    本机环境:直接抓包本机网卡进出流量 集线器环境:流量防洪,同一突破 交换机环境: a.端口镜像,通过交换器的其他接口流量COPY一份; b.ARP欺骗(arp特性后到优先,错误绑定地址); c.MAC泛洪,在没有权限,不能...
  • wireshark抓包详解

    2017-03-29 21:28:00
    wireshark是捕获机器上的某一块网卡的网络,当你的机器上有多块网卡的时候,你需要选择一个网卡(路由器多个LAN口时需进行端口镜像)简单介绍:WireShark 主要分为这几个界面 1. Display Filter(显示过滤器),
  • 为了成功编译Wireshark,您需要安装GTK+的开发文件和GLib库(libraries)。 $sudo apt-get install libgtk2.0-dev libglib2.0-dev 安装Checkinstall以便管理您系统中直接由源代码编译安装的软件。 $sudo apt-

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,064
精华内容 825
关键字:

wireshark镜像抓包