Wireshark的基本使用
下载和安装
wireshark
网址:https://www.wireshark.org/#download
pcap
除此之外还需要安装Pacp
从http://www.winpcap.org免费下载WinPcap,从http://www.tcpdump.org免费下载LinPcap
简单设置
输入
打开wireshark点击菜单栏的捕获–>选项–>使用混杂模式
混杂模式
抓取经过网卡的所有数据包,包括发往本网卡和非发往本网卡的。
非混杂模式
只抓取目标地址是本网卡的数据包,对于发往别的主机而经过本网卡的数据包忽略。
输出
选项
关于过滤器
有两种,语法不同,用法不同,场合不同
捕捉过滤器在抓抱前进行设置,决定抓取怎样的数据;显示过滤器用于过滤抓包数据,方便stream的追踪和排查
捕捉过滤器仅支持协议过滤,显示过滤器既支持协议过滤也支持内容过滤
捕获过滤器
用于决定将什么样的信息记录在捕捉结果中
显示过滤器
用于在捕捉结果中进行详细查找
统计
练习
显示过滤器
要求 (x.x.x.x对应具体环境中的IP地址) | 关系(操作符或简写形式) | 过滤表达式 |
---|---|---|
本局域网中的网关计算机发出和接收的数据包 | == 或 eq | ip.addr==x.x.x.x(网关地址) |
本机发出的数据包 | == 或 eq | ip.src==y.y.y.y (本机IP地址) |
本机接收的数据包 | == 或 eq | ip.dst==y.y.y.y (本机IP地址) |
显示从Web服务器的发出的数据包 | == 或 eq | tcp.srcport==80 |
显示IP包长度大于64字节的数据包 | >= 或 ge | ip.len>= 64 |
显示以太网的广播帧 | == 或 eq | eth==ff:ff:ff:ff:ff:ff |
显示访问百度主机的HTTP协议数据包 | == 或 eq | http.host==“www.baidu.com” |
显示TCP的目的端口号为80的数据包 | == 或 eq | tcp.dstport==80 |
在广泛抓包获得的报文分组中,利用组合表达式筛选显示满足条件的报文
要求 (x.x.x.x对应具体环境中的IP地址) | 逻辑操作符 | 组合表达式 |
---|---|---|
本机的数据包且TCP的FIN标记位置1 | &&或and(与) | ip.addr == x.x.x.x &&tcp.flags.fin ==1(注x.x.x.x为主机IP地址) |
本机发出的,且TCP的SYN标记位置1,且TCP的ACK标记位置0 | &&或and(与) | ip.src== x.x.x.x && tcp.flags.syn==1 && tcp.flags.ack ==0 (注x.x.x.x为主机IP地址) |
本机或网关的HTTP数据包 | ||
除本机外的ARP数据包 | !或not(非) | !(ip.addr==x.x.x.x)and arp (注x.x.x.x为主机ip) |
IP数据报格式
来自 https://blog.csdn.net/qq_51553982/article/details/123883278