Wireshark抓包基本操作

一、开始抓包

1.点击捕获选项

2选择需要抓包的网卡（无线网选择WLAN，有线选择对应的本地连接）

二.操作界面

 

二、抓包过滤器表达式的规则

1.二层筛选

eth.addr==ff:ff:ff:ff:ff:ff     过滤二层

eth.dst==xxxx          过滤 源MAC地址为xxxx

eth.src==xxxx          过滤 目标MAC地址为xxxx

2.三层筛选

ip.addr==x.x.x.x  过滤三层

ip.dst==x.x.x.x 过滤源IP地址为x.x.x.x

ip.src==x.x.x.x 过滤目的IP地址为x.x.x.x

3.端口过滤

tcp.port ==80          显示源主机或者目的主机的端口为80的数据包列表

tcp.srcport==80       只显示TCP协议的源主机端口为80的数据包列表

tcp.dstport==80       只显示TCP协议的目的主机端口为80的数据包列表

4.逻辑运算符 and/or/not

与   &&  and   

或    ||    or

非    ！  not

例：

1.抓取主机地址为192.168.1.80，TCP目的端口为80的数据包

ip.addr==192.168.1.80 && tcp.dstport==80

2.抓取主机为192.168.1.104或者192.168.1.102

ip.addr==192.168.1.104||ip.addr==192.168.1.102

三、数据包详细列表

 Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包，在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的，用来查看协议中的每一个字段。各行信息分别为

  （1）Frame:   物理层的数据帧概况

  （2）Ethernet II: 数据链路层以太网帧头部信息

  （3）Internet Protocol Version 4: 互联网层IP包头部信息

  （4）Transmission Control Protocol:  传输层T的数据段头部信息，此处是TCP

  （5）Hypertext Transfer Protocol:  应用层的信息，此处是HTTP协议

展开（4）传输层数据段的头部信息，可以观察到wireshark捕获的TCP包中的每个字段

 

其中 在TCP层，有个FLAGS字段，这个字段有以下几个标识：SYN，FIN，ACK，PSH，RST，对于我们日常的分析有用的就是前面的五个字段。它们的含义是：SYN表示建立连接，FIN表示关闭连接，ACK表示响应，PSH表示有DATA数据传输，RST表示连接重置。