对话着色用来选择指定颜色对应的协议,着色分组列表用来隐藏非选中着色分组中的数据包,着色规则用来定义着色外观和包含的协议
1.5.3 wireshark提供2种过滤器
1.捕捉过滤器
2.显示过滤器
捕捉过滤器
捕捉过滤器是用来配置应该捕获什么样的数据包,在启动数据包捕捉之前就应该配置好。打开主界面
“
捕获
”——>“
捕获过滤器
”
。
在捕获过滤器界面,我们可以看到已有的过滤器,可以修改删除它们,同时我们可以增加自己的过滤器。
Protocol
(协议)
:
可能的值
: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果没有特别指明是什么协议,则默认使用所有支持的协议。
Direction
(方向)
:
可能的值
: src, dst, src and dst, src or dst
如果没有特别指明来源或目的地,则默认使用
"src or dst"
作为关键字。
Host(s)
:
可能的值:
net, port, host, portrange.
如果没有指定此值,则默认使用
"host"
关键字。
Logical Operations
(逻辑运算)
:
可能的值:
not, and, or.
否
("not")
具有最高的优先级。或
("or")
和与
("and")
具有相同的优先级,运算时从左至右进行。
显示目的
TCP
端口为
3128
的封包。
显示来源
IP
地址为
10.1.1.1
的封包。
显示目的或来源
IP
地址为
10.1.2.3
的封包。
显示来源为
UDP
或
TCP
,并且端口号在
2000
至
2500
范围内的封包。
显示除了
icmp
以外的所有封包。(
icmp
通常被
ping
工具使用)
src host 10.7.2.12 and not dst net 10.200.0.0/16
|
显示来源
IP
地址为
10.7.2.12
,但目的地不是
10.200.0.0/16
的封包。
(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8
|
|
当使用关键字作为值时,需使用反斜杠“
\
”。
"ether proto \ip" (
与关键字
"ip"
相同
)
。这样写将会以
IP
协议作为目标。
"ip proto \icmp" (
与关键字
"icmp"
相同
).
这样写将会以
ping
工具常用的
icmp
作为目标。可以在
"ip"
或
"ether"
后面使用
"multicast"
及
"broadcast"
关键字。当您想排除广播请求时,
"no broadcast"
就会非常有用。
使用过滤器:
再启动就看到效果了:
显示过滤器
显示过滤器用来过滤已经捕获的数据包。在数据包列表的上方,有一个显示过滤器输入框,可以直接输入过滤表达式,点击输入框右侧的表达式按钮,可以打开表达式编辑器,左侧框内是可供选择的字段。
显示过滤器的语法:
下面我们对各个字段做介绍:
1)
Protocol
,协议字段。支持的协议可以从图
14
的编辑器中看到,从
OSI 7
层模型的
2
到
7
层都支持。
2)
String1, String2 (
可选项
)
。协议的子类
3) Comparison operators
,比较运算符。可以使用
6
种比较运算符
,逻辑运算符如图所示
。
PS:xor(异或)运算,相同为0,不同为1
被程序员们熟知的逻辑异或是一种排除性的或。当其被用在过滤器的两个条件之间时,只有当且仅当其中的一个条件满足时,这样的结果才会被显示在屏幕上。
"tcp.dstport 80 xor tcp.srcport 1025"
只有当目的
TCP
端口为
80
或者来源于端口
1025
(但又不能同时满足这两点)时,这样的封包才会被显示。
下面再通过一些实例来加深了解。
显示
SNMP
或
DNS
或
ICMP
封包。
显示来源或目的
IP
地址为
10.1.1.1
的封包。
ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
显示来源不为
10.1.2.3
或者目的不为
10.4.5.6
的封包。
ip.src != 10.1.2.3 and ip.dst != 10.4.5.6
显示来源不为
10.1.2.3
并且目的
IP
不为
10.4.5.6
的封包。
显示来源或目的
TCP
端口号为
25
的封包。
显示目的
TCP
端口号为
25
的封包。
显示包含
TCP
标志的封包。
显示包含
TCP SYN
标志的封包。
在使用过滤器表达式编辑器的时候,如果过滤器的语法是正确的,表达式的背景呈绿色。如果呈红色,说明表达式有误。
此外我们也可以通过选中数据包来生成过滤器,右键
——>
作为过虑器应用。
不同的选项,大家都可以尝试下,都是基本逻辑谓词的组合。比如我选择“或选中
”
,可以组合多个数据包的条件
选择了两个数据包,协议不同,自动生成的过滤表达式会按照你鼠标点击的位置所在的列字典作为条件来生成。图中我两次的位置都在
Destination
列上,所以生成的表达式是一样的。
1.5.4 数据分析
在图
23
中,
1
区为详细信息显示区域,这个区域内对数据包按照协议字段做了较为详细的分析。
2
区为
16
进制数据区。结合
1
区和
2
区,再结合书本上的知识,我们就可以进行协议分析的研究和学习了。图
23
中,显示的详细信息分别为:
1)
Frame:
物理层的数据帧概况
2)
Ethernet II:
数据链路层以太网帧头部信息
3)
Internet Protocol Version 4:
互联网层
IP
包头部信息
4)
Transmission Control Protocol:
传输层
的数据段头部信息,此处是
TCP
5)
Hypertext Transfer Protocol:
应用层的信息,此处是
HTTP
协议
当我们点击
1
区的字段的时候,可以看到在
2
区对应的数据项,如图
。
OSI
七层模型和
Wireshark
数据包分析的对应情况。
再拿
TCP
数据包来举例。
1.5.5 实例:分析TCP三次握手过程
打开wireshark抓包,然后在浏览器输入网址:www.baidu.com
停止抓包后输入过滤表达式
输入过滤表达式:ip.src == 192.168.3.88
过滤出连接到 www.cnblogs.com
的所有数据包。
选中一个,
右键然后点击
"
追踪流
"——>TCP
流。
点击
TCP
流之后,会根据
tcp.stream
字段生成过滤表达式,我们可以看到这次
HTTP
请求基于的
TCP
三次握手的数据包。
下面我们来逐步分析上图中的71,118,120这3个数据包。
71号数据包的tcp数据字段如图所示,序列号为0,标志位为SYN
118号数据包的tco数据字段中,序列号为0,Ack序号加1为1,标志位为(SYN,ACK)
120号数据包的tcp数据字段中,客户端再次发送确认包(ACK),Ack序号为1,并且把服务器发来的序列号字段+1放在确定字段中发送给对方。
这样就完成了
TCP
的三次握手。
参考文章:http://www.cnblogs.com/xuanhun/p/5714034.html