Wireshark抓包基本操作

一、开始抓包

1.点击捕获选项

2选择需要抓包的网卡(无线网选择WLAN,有线选择对应的本地连接)

Wireshark抓包基本操作_第1张图片

二.操作界面

Wireshark抓包基本操作_第2张图片

 

二、抓包过滤器表达式的规则

1.二层筛选

eth.addr==ff:ff:ff:ff:ff:ff     过滤二层

eth.dst==xxxx          过滤 源MAC地址为xxxx

eth.src==xxxx          过滤 目标MAC地址为xxxx

2.三层筛选

ip.addr==x.x.x.x  过滤三层

ip.dst==x.x.x.x 过滤源IP地址为x.x.x.x

ip.src==x.x.x.x 过滤目的IP地址为x.x.x.x

3.端口过滤

tcp.port ==80          显示源主机或者目的主机的端口为80的数据包列表

tcp.srcport==80       只显示TCP协议的源主机端口为80的数据包列表

tcp.dstport==80       只显示TCP协议的目的主机端口为80的数据包列表

4.逻辑运算符 and/or/not

与   &&  and   

或    ||    or

非    !  not

例:

1.抓取主机地址为192.168.1.80,TCP目的端口为80的数据包

ip.addr==192.168.1.80 && tcp.dstport==80

2.抓取主机为192.168.1.104或者192.168.1.102

ip.addr==192.168.1.104||ip.addr==192.168.1.102

三、数据包详细列表

 Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。各行信息分别为

  (1)Frame:   物理层的数据帧概况

  (2)Ethernet II: 数据链路层以太网帧头部信息

  (3)Internet Protocol Version 4: 互联网层IP包头部信息

  (4)Transmission Control Protocol:  传输层T的数据段头部信息,此处是TCP

  (5)Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议

展开(4)传输层数据段的头部信息,可以观察到wireshark捕获的TCP包中的每个字段

 

其中 在TCP层,有个FLAGS字段,这个字段有以下几个标识:SYN,FIN,ACK,PSH,RST,对于我们日常的分析有用的就是前面的五个字段。它们的含义是:SYN表示建立连接,FIN表示关闭连接,ACK表示响应,PSH表示有DATA数据传输,RST表示连接重置。

 

你可能感兴趣的:(数通,tcp/ip,wireshark,网络)