( 1 )抓包及包分析
双击“WiresharkPortable.exe" 文件,启动后选择抓包所在的网卡,如果是有线连接,就选择有线网卡;无线连接,就选择WLAN所在的网卡。
(2)追踪数据流
一个完整的数据流传输股由很多包组成,可以使用追踪数据流的方法来在查看并分析一组数据包。
在需要追踪数据流的某个数据包上使用鼠标右键单击,从“追踪流”中选择追踪方式。
(3 )筛选数据包
抓包后,需要对包进行筛选,找到需要的数据包。在 “Wireshark"中叫作“应用显示过滤器”,位置在主界面快捷按钮下方。
常用筛选数据包的语言格式如下:
ip.src1.2.3.4:筛选出源地址是1.2.3.4的数据包。
ip.dst1.2.3.4:筛选出目的地址是1.2.3.4的数据包。
如果需要筛选协议,直接输人数据协议的名称,tep、udp、http等。
tep.srcport-80:筛选出TCP源端口号是80的包( dstport是目的端口号)
如筛选目的IP地址是本机的数据包,可以输入ip.dst== 192.168.1.116,如果语创正确,语句背景变成绿色,按回车后显示结果。
(4)捕获前过滤
如果是有针对性的实时检测,可以在捕获前过滤不需要的数据,只捕获需要的数据,并且可以实时显示和查看。捕获前过滤和捕获后筛选的命令不同,下面介绍一些捕获前过滤的常用命令及用法。
host 1.2.3.4:只捕获IP地址为1.2.3.4的数据包。
net 1.2.3.0/24:只捕获某个IP地址范围内的数据包。
src 1.2.3.4:只捕获源地址为1.2.3.4的数据包。
dst 1.2.3.4:只捕获目的地址为1.2.3.4的数据包。
port 80:只捕获HTTP (端口80 )通信数据包。
在命令行中,还可以使用“and” 来表达同时满足两个条件,用“not”来表示非,用“or”表示条件满足一个即可。
host 1.2.3.4 and not port 80 and not port 25:捕获IP地址为1.2.3.4,且非HTTP和SMTP以外的通信数据包。
port not 80 and not arp:捕获非HTTP和非ARP的数据包。
通过编制复杂的筛选语句,可以实现精准捕获。下面介绍如何抽获源地地址为本机的HTTP包。
在主界面中,单击“捕获选项”按钮。
在“捕获选项”中,选择以太网卡,并输入表达式,如果正确,背景变为绿色,单击“开始”按钮。
(5)数据统计
Wireshark除抓取数据包外,还可以对已经抓取的数据进行各种统计工作,这也是该软件的优势之一, 如进行数据分析。用户结束抓取后,可以单击“统计”菜单按钮,查看各种统计信息,如选择“流量图”选项。
扫一扫
4983
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
