Wireshark教程之一:认识Wireshark界面
1.下载与安装
官网地址:https://www.wireshark.org/
官网下载地址:https://www.wireshark.org/#download
本文以macos环境为例来说明。安装过程此处略过。
另外,如果不知道Wireshark是什么的同学,那么现在告诉你,Wireshark 是网络包分析工具,如果你还不知道是什么,那么后面内容可以跳过了。。
2.软件界面
2.1 欢迎界面
打开软件,默认进入软件欢迎页面,如下图所示:
界面列出了当前可以选择的网络形式。如果当前电脑用的有线,则选择以太网;如果是用的WiFi,列表中会出现WiFi,选择即可。
2.2 主界面
选择网络形式之后,打开的主界面就自动抓取从本机ip发出去或者接受到的网络包。
整体来说,界面主要分为以下几部分:
菜单栏:Wireshark的标准菜单栏。
工具栏:常用功能的快捷图标按钮,提供快速访问菜单中经常用到的项目的功能。
过滤器:提供处理当前显示过滤得方法。
Packet List面板:显示每个数据帧的摘要。这里采用表格的形式列出了当前捕获文件中的所有数据包,其中包括了数据包序号、数据包捕获的相对时间、数据包的源地址和目标地址、数据包的协议以及在数据包中找到的概况信息等。
Packet Details面板:分析数据包的详细信息。这个面板分层次地显示了一个数据包中的内容,并且可以通过展开或是收缩来显示这个数据包中所捕获的全部内容。
Packet Bytes面板:以十六进制和ASCII码的形式显示数据包的内容。这里显 示了一个数据包未经处理的原始样子,也就是在链路上传播时的样子。
状态栏:包含有专家信息、注释、包的数量和Profile。
2.2.1 菜单栏
File(文件) ——包括打开、合并捕捉文件,save/保存,Print/打印,Export/导出,捕捉文件的全部或部分。以及退出Wireshark 项。
Edit(编辑)——包括如下项目:查找包,时间参考,标记一个多个包,设置预设参数。(剪切,拷贝,粘贴不能立即执行。)
View(视图) ——控制捕捉数据的显示方式,包括颜色,字体缩放,将包显示在分离的窗口,展开或收缩详情面版的地树状节点
GO(跳转) ——包含到指定包的功能。
Capture(捕获)——控制抓包的对话框,包括接口,选项,开始/停止/重新开始和过滤器。
Analyze(分析) ——包含处理显示过滤,允许或禁止分析协议,配置用户指定解码和追踪TCP 流等功能。
Statistics(统计) ——包括的菜单项用户显示多个统计窗口,包括关于捕捉包的摘要,协议层次统计等等。
Help(帮助) ——包含一些辅助用户的参考内容。如访问一些基本的帮助文件,支持的协议列表,用户手册。
2.2.2 工具栏
①——使用最后一次的捕捉设置立即开始捕捉
②——停止当前捕捉
③——停止当前捕捉并立即重新开始
④——打开捕获窗口
2.2.3 过滤器
当进行数据包捕获时,只有那些满足给定的包含/排除表达式的数据包会被捕获。
常见的过滤条件有:
过滤源ip、目的ip——如查找目的地址为192.168.101.8的包,ip.dst192.168.101.8;查找源地址为ip.src1.1.1.1。
端口过滤——如过滤80端口,在Filter中输入,tcp.port80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包。
协议过滤——比较简单,直接在Filter框中直接输入协议名即可,如过滤HTTP的协议
http模式过滤——如过滤get包,http.request.method==“GET”,过滤post包,http.request.method==“POST”
连接符and——过滤两种条件时,使用and连接,如过滤ip为192.168.101.8并且为http协议的,ip.src==192.168.101.8 and http。
列表中的每行显示捕捉文件的一个包。如果您选择其中一行,该包得更多情况会显示在"Packet Detail/包详情","Packet Byte/包字节"面板。
Packet List面板中默认包含了几列,如No、Time、Source和Destination等。
No. 包的编号,编号不会发生改变,即使进行了过滤也同样如此
Time 包的时间戳。包时间戳的格式可以自行设置,见第 6.10 节 “时间显示格式及参考时间”
Source 显示包的源地址。
Destination 显示包的目标地址。
Protocal 显示包的协议类型的简写
Info 包内容的附加信息
2.2.5 Packet Details面板
该面板显示包列表面板选中包的协议及协议字段,协议及字段以树状方式组织。可以展开或折叠进行查看。
2.2.6 Packet Bytes面板
通常在16进制转储形式中,左侧显示包数据偏移量,中间栏以16进制表示,右侧显示为对应的ASCII字符。
2.2.7 状态栏
上下文
通常状态栏的左侧会显示相关上下文信息,右侧会显示当前包数目。
参考转https://www.cnblogs.com/bosins/p/11321569.html。