Wireshark 简介
Wireshark(前称Ethereal)是⼀个⽹络封包分析软件。⽹络封包分析软件的功能是撷取⽹络封包,并尽可能显⽰出最为详细的⽹络封包资料。Wireshark使⽤WinPCAP作为接⼝,直接与⽹卡进⾏数据报⽂交换。— 百度百科
Wireshark基本使⽤⽅法
溶解度参数主界⾯
说明
常⽤功能按钮从左到右⼀次是:
1. 开始新的抓包
2. 停⽌抓包
3. 重新开始抓包
4. 抓包设置
5. 打开已保存的抓包⽂件
6. 保存抓包⽂件
7. 关闭抓包⽂件超声冲击
8. 重新加载抓包⽂件
10. 转到前⼀个分组
11. 转到后⼀个分组
12. 转到特定的分组
13. 转到第⼀个分组
14. 转到最后⼀个分组
15. 正在抓包时,⾃动定位到最新的分组
16. 分组着⾊
17. 放⼤主窗⼝⽂字⼤⼩
18. 缩⼩主窗⼝⽂字⼤⼩
19. 重置主窗⼝⽂字⼤⼩
系谱20. 重置主窗⼝界⾯⼤⼩
过滤器的基本使⽤
1. 过滤IP,例如源IP和⽬标IP御书院
ip.src or ip.dst == 或者 ip.addr
2. 过滤端⼝
tcp.port eq 80 or udp.port eq 80 源端⼝或者⽬的端⼝为80
tcp.dstport == 80 只显tcp协议的⽬标端⼝为80 方舟子打假林志颖
tcp.srcport == 80 只显tcp协议的源端⼝为80
tcp.port >= 1 and tcp.port <= 80
3. 过滤协议
tcp/udp/arp/icmp/http/ftp/dns/ip…… 常⽤的协议
4. 过滤MAC地址
eth.src eq b4:ae:2b:31:c5:07
eth.dst eq b4:ae:2b:31:c5:07
eth.addr == b4:ae:2b:31:c5:07
5. 过滤包长渡
wrc2011
udp.length == 26 这个长度是指udp本⾝固定长度8加上udp下⾯那块数据包之和。tcp.len >= 7 指的是ip数据包(tcp下⾯那块数据),不包括tcp本⾝ip.len == 94 除了以太⽹头固定长度14,其它都算是ip.len,即从ip本⾝到最后frame.len == 119 整个数据包长度,从eth开始到最后
6. 过滤HTTP
http
协议分析
在统计下选择协议分级(析),可以查看当前数据包中包含那些协议 通常我们只关注HTTP以及TCP和UDP协议内容,可以直接右击选择选中状态,⽐如选中HTTP
同样的⽅法也可以⽤来选择想要的数据包特征,⽐如想要筛选HTTP GET 包,右击选择作为过滤器应⽤->选中
数据流跟踪
