wireshark学习记录1 基本操作

一、面板

 二、筛选器 filter

1、筛选指定ip地址和指定端口号的数据包

• ip.addr==192.168.0.102  and tcp.prot==80 

2、筛选非txp协议的数据包

• ！tcp 

3、筛选长度小于150的数据包

• frame.len<=150  

4、捕获带有PSH和ACK标志的数据包：

• tcp[13]==0x18

 

三、图形显示

1、I/O gragh

2、往返时间绘图

统计——tcp流图形——往返时间

3、流量图

统计——流量图

 

四、wireshark高级特性

1、设置解析规则

一般用SSL协议传输的，是不能看到明文传输的数据流量（用户名密码）

如下图应该是个FTP数据包

导致如下图解析错误的原因，是因为使用的端口号是443（HTTPS专用端口）

这时需要强制使用FTP来解析数据包

右键——decode as，就可以使所有在443的端口与都用FTP协议解析

2、追踪流

右键——追踪流——TCP流

3、数据包长度

统计——分组长度

对捕获信息做一个概览

重点关注1280-2559长度的数据包，一般是用于数据传输。小长度数据包一般是控制命令。

4、专家信息

查看对使用指定协议的数据包的特定状态的信息

分析——专家信息

五、wireshark命令行模式

主要使用tshark.exe辅助分析，在linux操作系统中

-r 文件地址

grep -e  包含关键字

https://blog.csdn.net/cpongo3/article/details/93995895