WireShark抓包使用

WireShark

是一个开源抓包工具或者叫网络嗅探器,用于分析网络流量和分析数据包。显示了网络模型中的第 2 层到第 5 层(链路层、网络层、传输层、应用层)。

一、WireShark 的使用

1.选择监听的网络

WireShark抓包使用_第1张图片
选择的是无线网WAN:
WireShark抓包使用_第2张图片点进去,能够看到数据包在不停的刷,那么就表明你选择的网络是正确的。

2.WireShark 界面简单介绍

  • 菜单栏
  • 工具栏
  • 数据包列表面板
  • 数据包详细详细面板
  • 数据包字节信息面板
    WireShark抓包使用_第3张图片

3.开始抓包和停止抓包

WireShark抓包使用_第4张图片

如果想要停止抓包,就点击:
WireShark抓包使用_第5张图片

抓包过程中想要清空抓包列表,就点击:
WireShark抓包使用_第6张图片

4.抓包信息分析

WireShark抓包使用_第7张图片
可以双击打开这个报文,得到这样的界面:
WireShark抓包使用_第8张图片

  • Frame 1752:数据帧,编号为1752,数据帧就是我们抓到的这个包发送的数据,1506字节,代表发送数据的大小有1506字节的大小。
    WireShark抓包使用_第9张图片

  • Ethernet II, Src: NewH3CTe_d6:f1:50 (10:19:65:d6:f1:50), Dst: LiteonTe_5a:aa:3d (58:00:e3:5a:aa:3d):以太网、二层,源目mac地址分别为(10:19:65:d6:f1:50)和(58:00:e3:5a:aa:3d)。
    WireShark抓包使用_第10张图片

  • Internet Protocol Version 4, Src: 59.39.0.162, Dst: 172.16.1.136:ipv4、三层,源目ip地址分别为59.39.0.162和172.16.1.136
    WireShark抓包使用_第11张图片

  • Transmission Control Protocol, Src Port: 443, Dst Port: 53918, Seq: 67572, Len: 1452:TCP协议,源目端口号分别为443和53918,序列号为67572,数据长度为1452
    WireShark抓包使用_第12张图片

5.WireShark 过滤器

第一个是捕获过滤器,另一个是显示过滤器。

链路层协议

显示 ARP 流量:

arp

WireShark抓包使用_第13张图片

显示从 MAC 地址为58:00:e3:5a:aa:3d的设备发送的 ARP 协议帧:

arp.src.hw_mac ==58:00:e3:5a:aa:3d

WireShark抓包使用_第14张图片
显示从 IP 地址为172.16.1.136的设备发送的 ARP 协议帧:

arp.src.proto_ipv4 == 172.16.1.136

WireShark抓包使用_第15张图片

显示以太网流量:

eth

WireShark抓包使用_第16张图片

网络层协议

源IP地址:

ip.src ==172.16.1.136
WireShark抓包使用_第17张图片

目标IP地址:

ip.dst ==172.16.1.136
WireShark抓包使用_第18张图片

指定 IP 地址,不论其是源ip还是目的ip:

ip.addr ==172.16.1.136

WireShark抓包使用_第19张图片
显示 IPv6 流量:

ipv6

传输层协议(tcp/udp)

查看 TCP 流量:

tcp

WireShark抓包使用_第20张图片
tcp 源端口 443 的流量:

tcp.srcport == 443

WireShark抓包使用_第21张图片
tcp 目的端口 443 的流量:

tcp.dstport == 443

tcp 指定端口443的流量,不论其是源端口还是目的端口:

tcp.port==443
tcp.srcport == 443 || tcp.dstport == 443

应用层协议

查看 HTTP 流量:

http

WireShark抓包使用_第22张图片
查看 HTTP POST请求 流量:

http.request.method == “POST”
WireShark抓包使用_第23张图片

查看 HTTP GET请求 流量:

http.request.method == “GET”

查看所有 DNS 请求和响应:

dns

6.保存WireShark文件

我们在抓完一段时间的后想要保存抓包过程,我们可以在停止抓包后Ctrl + S进行保存,或者点击开始抓包,会提示你是否保存;
一旦保存成功,会在指定目录生成一个后缀名为.pcapng的抓包文件。
在这里插入图片描述

你可能感兴趣的:(wireshark,网络,测试工具,运维)