网络抓包工具--wireshark

网络抓包工具–wireshark

一.wireshark介绍

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
此工具支持多种网络接口类型,捕捉多种网络接口类型的包。

wireshark是一款开源的软件,请自行到网站下载。
下载地址:
https://www.wireshark.org/download/

二.wireshark使用方法

1.打开界面
网络抓包工具--wireshark_第1张图片
2.选择抓包接口
网络抓包工具--wireshark_第2张图片
注意:工具使用时,部分使用者可能会遇到找不到wifi的无线网卡,原因是因为没有打开npf服务,可以尝试打开cmd窗口,执行net start npf,关闭wireshark后重新打开即可。

3.包摘要信息
No. 包的编号,编号不会发生改变,即使进行了过滤也同样如此

Time 包的时间戳。包时间戳的格式可以自行设置

Source 显示包的源地址。

Destination 显示包的目标地址。

Protocal 显示包的协议类型的简写

Info 包内容的附加信息

注:打开抓包工具,浏览csdn网站,查看抓包内容
如图
网络抓包工具--wireshark_第3张图片
包详情(中包的协议及协议字段,协议及字段以树状方式组织。你可以展开或折叠它们),包字节(通常在16进制转储形式中,左侧显示包数据偏移量,中间栏以16进制表示,右侧显示为对应的ASCII字符根据包数据的不同)

捕获/选项 更改捕捉的网络接口

4.过滤包
a.ip过滤
过滤出源ip和目标ip的包:ip.addr == 47.95.164.112
如图:
网络抓包工具--wireshark_第4张图片
过滤源ip:ip.src == 47.95.164.112

过滤目标ip :ip.dst == 47.95.164.112

b.端口过滤
过滤tcp端口80的包(包括源和目标)tcp.port == 443
网络抓包工具--wireshark_第5张图片
过滤tcp源端口:tcp.srcport == 80

过滤tcp目标端口 : tcp.dstport == 443

过滤端口区间:tcp.port >= 443 && tcp.port < 1000

c.协议过滤
直接填写需要过滤的协议即可

d.包长度过滤
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和

tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身

ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后

frame.len == 119 整个数据包长度,从eth开始到最后

d.http模式过滤
http.request.method == “POST”
网络抓包工具--wireshark_第6张图片
http.request.method == “GET”

http.request.uri == “/img/logo-edu.gif”

http contains “GET”

http contains “HTTP/1.”

e.tcp参数过滤
tcp.flags 显示包含TCP标志的封包

tcp.flags.syn == 0x02 显示包含TCP SYN标志的封包

tcp.window_size == 0 && tcp.flags.reset != 1

上述过滤方法可以通过与或随机组合过滤。

本文简单介绍下wireshark的基本内容和常见使用方法,如需详细了解此软件,请浏览wireshark的用户手册
http://man.lupaworld.com/content/network/wireshark/index.html

你可能感兴趣的:(协议分析)