【网络数据报分析工具】Wireshark

客户端界面简介

打开Wireshark后,能够看到三个区域。

最上方是工具栏区域,可以开始捕获、停止捕获等操作。

中间是Cpature Filter区域,能够在开始捕获前指定过滤规则。

下方是可以捕获的网络设备,双击其中一个设备后就开始进行网络流量的捕获。
【网络数据报分析工具】Wireshark_第1张图片

WireShark 主要分为这几个界面

\1. Display Filter(显示过滤器), 用于过滤

\2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表

\3. Packet Details Pane(封包详细信息), 显示封包中的字段

\4. Dissector Pane(16进制数据)

\5. Miscellanous(地址栏,杂项)

1号窗口展示的是wireshark捕获到的所有数据包的列表。注意最后一列Info列是wireshark组织的说明列并不一定是该数据包中的原始内容。
2号窗口是1号窗口中选定的数据包的分协议层展示。底色为红色的是因为wireshark开启校验和验证而该层协议校验和又不正确所致。
3号窗口是1号窗口中选定的数据包的源数据,其中左侧是十六进制表示,右侧是ASCII码表示。另外在2号窗口中选中某层或某字段,3号窗口对应位置也会被高亮。

【网络数据报分析工具】Wireshark_第2张图片

  • Packet Details Pane封包详细信息(二号窗口)
    2号窗口展开后的内容,以IP层为例:
    每一行就对应该层协议的一个字段;中括号行是前一字段的说明。
    冒号前的英文是协议字段的名称;冒号后是该数据包中该协议字段的值。

    对应的OSI七层模型

    每个字段详解

  • 过滤器

    一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录

    一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录

  • 过滤表达式规则

    (1)比较操作符

    比较操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

    (2)协议过滤

    比较简单,直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。 tcp,只显示TCP协议的数据包列表 http,只查看HTTP协议的数据包列表 icmp,只显示ICMP协议的数据包列表

    (3) ip过滤

    ip.src 192.168.1.104 显示源地址为192.168.1.104的数据包列表 ip.dst192.168.1.104, 显示目标地址为192.168.1.104的数据包列表 ip.addr == 192.168.1.104 显示源IP地址或目标IP地址为192.168.1.104的数据包列表

    (4)端口过滤

    tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。 tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。 tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表。

    (5) Http模式过滤

    http.request.method==“GET”, 只显示HTTP GET方法的。

    (6)逻辑运算符为 and/or/not

    过滤多个条件组合时,使用and/or。比如获取IP地址为192.168.1.104的ICMP数据包表达式为ip.addr == 192.168.1.104 and icmp
    (7)按照数据包内容过滤。

    假设我要以IMCP层中的内容进行过滤,可以单击选中界面中的码流,在下方进行选中数据。右键–>准备过滤器–>选中–>添加条件表达式,如data contains "uestc"

  • 使用小技巧参考博客

你可能感兴趣的:(工具使用,网络,wireshark)