wireshark简简简简单使用方法
一 ,安装wireshark
有手就行,百度wireshark进到wireshark官网然后按默认配置点点点就可以了。
二,认识wireshark
主界面长这样,
可以选择直接点击要捕获的网卡,因为今天天气不错所以我选WLAN,也可以选择菜单栏上的capture->option,就像一样
然后还是要点击你选择的网卡,然后,开始捕获,这里有个小细节注意要把Enable promiscuous mode on all interfaces勾选,开启混杂模式,开启混杂模式的网卡可以捕获所有流过该网卡的帧,不开启则只能捕获广播帧以及发给该网卡的帧
捕获后的wireshark窗口有五个部分
(1)协议筛选:可以对数据包进行过滤,只显示需要的数据包
(2)数据包列表:按行显示捕获的每一个数据包,数据包序号(No),捕获时间(Time),源地址(source),目的地址(destination),协议(protocol),长度,数据包信息。
(3)数据包首部明细:显示数据包列表中选择的数据包首部详细信息,包括该数据包各个层次的首部信息。
Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP协议
Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议
(4)数据包内容:显示数据包列表选择的数据包实际数据,分别是十六进制形式和ASCLL码表示实际的二进制
三,数据包过滤
数据包太多了不好分析,过滤一下选择有用的来分析。显示过滤器指的是针对已经捕获的报文,使用过滤器语法过滤出符合规则的报文。捕获过滤器指的是提前设置好过滤规则,只捕获符合过滤规则的报文,捕获过滤器是在开始数据包捕获之前设置的,并且在捕获期间无法修改,显示过滤器没有此限制,可以随时更改;事前用抓包过滤器
事后用显示过滤器
过滤规则:
1、捕获过滤器
tcp(大写) TCP协议的数据包。
host 192.168.1.104 源ip目的ip都是192.168.1.104
src host 192.168.1.104 源ip是192.168.1.104
dst host 192.168.1.104 目的ip是192.168.1.104
port 80 所有端口为80的数包
src port 80 源端口是80的数据包
dst port 80 目的端口是80的数据包
src host 192.168.1.104 && dst port 80 捕获ip为192.168.1.80、目的端口为80的数据包
host 192.168.1.104 || host 192.168.1.102 捕获ip为192.168.1.104或者192.168.1.102的数据包
!broadcast 不抓取广播数据包
src 192.168.5.231 and port 53 只捕获主机192.168.5.231 对外的dns 的流量(dns默认端口53)
dst 192.168.5.231 and port 53 只捕获dns服务器相应主机192.168.5.231的dns流量
host 192.168.5.231 and arp 只捕获主机192.168.5.231 的arp流量
2、显示过滤器语法
tcp,TCP协议的数据包
ip.src==192.168.1.102 ,源地址是192.168.1.102
ip.dst ==192.168.1.102 ,目标地址是192.168.1.102
tcp.port==80,端口是80tcp协议数据包
tcp.srcport ==80,只显示tcp协议的来源端口为80的数据包。
http.request.method==“GET”,只显示HTTP的get方法
数据包分析
物理层数据帧信息
数据链路层以太网帧信息
网络层IP数据报头部信息
传输层TCP数据段头部信息
