wireshark使用及过滤器介绍

最新推荐文章于 2024-07-11 09:04:28 发布
最新推荐文章于 2024-07-11 09:04:28 发布
阅读量4.3k 收藏 13
点赞数 4
分类专栏: wireshark 文章标签: wireshark 网络 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a56546/article/details/122208788
版权

wireshark使用

wireshark工作原理

wireshark是一个网络封包分析软件,处于混杂模式(Promiscuous)的Wireshark可以抓取改冲突域的所有网络封包。它的基本原理是通过程序将网卡的工作模式设置为“混杂模式”,这时网卡将接受所有流经它的数据帧,这实际上就是Sniffer工作的基本原理:让网卡接收一切他所能接收的数据。Sniffer就是一种能将本地网卡状态设成混杂状态的软件,当网卡处于这种”混杂”方式时,该网卡具备”广播地址”,它对所有遇到的每一个数据帧都 产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。

Wireshark界面说明

在这里插入图片描述

Wireshark界面主要分为三部分

第一部分

在这里插入图片描述

第一部分展示的是wireshark抓取的所有数据包的列表。

注意:最后一列Info是wireshark组织的说明并不一定是数据包中的原始内容

我们可以看到有很多的色彩显示这是wireshark为了区分不同的报文做的颜色提示,可以通过点击上方视图->试图规则,查看并修改。

在这里插入图片描述

其中重要的规则有以下几条

黑色代表报文错误

红色代表各类异常

其他颜色都为正常

第二部分

在这里插入图片描述

第二部分是针对第一部分窗口中选中的数据包的分协议展示

注意:如果出现红色是因为wireshark开启校验和验证而该层协议验证和校验不正确导致

  1. Frame:物理层的数据帧概况
  2. Ethernet Ⅱ:数据链路层以太网帧头部信息
  3. Internet Protocol Version 4: 互联网层IP包头部信息
  4. Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP
  5. Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议

第三部分

第三部分是对第一部分选中的数据包的元数据,其中左侧是十六进制表示右侧是ASCll码表示,当第二部分中选中某层或某字段,第三部分中的对应位置也会被高亮提示。
在这里插入图片描述

wireshark过滤器使用

因为信息量大,有很多的冗余报文。为了方便的从中获取需要的报文,我们必须熟练使用wireshark提供的过滤器,捕获过滤器和显示过滤器。

捕获过滤器

捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。

显示过滤器

显示过滤器是一种更为强大(复杂)的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。

两种过滤器使用时都需要遵守一定的语法,不过在使用的过程中,wireshark提供一些简单常用的过滤命令基本可以满足需求。

过滤规则
符号含义
eq, ==等于
ne,!=不等于
gt,>大于
lt,<小于
ge,>=大于等于
le,<=小于等于
and,&&
or,||
not,!取反
举例

过滤源IP、目的IP

ip.dst==192.168.101.8
ip.src==1.1.1.1

端口过滤

tcp.dstport==80
tcp.srcport==80

http模式过滤

http.request.method=="GET"
http.request.method=="POST"

wireshark使用

当你筛选过后数据包的数量会少很多,我们可以通过右键-》追踪流-》选择相应协议进行追踪,因为我使用的是tcp协议所以我这边只有tcp流可以点击。

点击后弹出窗口即可看到

在这里插入图片描述

主要分为两种颜色红色与蓝色

红色:源地址到目的地址

蓝色:目的地址到源地址

FLAGS字段含义

在TCP层,有个FLAGS字段,这个字段有以下几个标识:SYN, FIN, ACK, PSH, RST, URG.
它们的含义是:
SYN表示建立连接,
FIN表示关闭连接,
ACK表示响应,
PSH表示有 DATA数据传输,
RST表示连接重置。

TCP的SEQ和ACK总结:

在TCP通讯中,无论是建立连接,数据传输,友好断开,强制断开,都离不开Seq值和Ack值,它们是TCP传输的可靠保证。Seq是发送方告诉接收方,我当前从第Seq个字节开始发送len个字节数据(不包括以太网Eth头,IP头和Tcp头,也就是纯数据长度)给你,而Ack则是接收方给发送方回复:接收方回复的Ack=发送方Seq+发送数据长度len。
在建立连接双方握手时,发送方的Seq为0,表示发送的数据长度也为0,这时接收方收到数据帧后,会判断Seq+数据长度为0或者Seq+数据长度为1的话,那么在回应发送方的Ack的值就为1(也就表示确认号有效,为0的话就表示数据包中不包含确认信息(即不含有Ack字段),忽略确认号字段)。
在数据传输中,如果Seq+数据长度不为0或1并且数据长度不为0的话,则回应时的Ack就等于Seq+数据长度的值,这就表示我已经收到Seq+数据长度个字节的数据。发送方收到该Ack就会比较自己的Seq+刚发出去的纯数据长度,如果一致,则回应接收方的Ack,并且发送下一个包,否则将重发该包,若超时还没收到Ack也会重发该包。

请添加图片描述

我是一个努力成长的小白,如果这篇文章对你有帮助记得点赞,如果有不足或者错误欢迎在评论区及时指出。

曼走丶999
关注
  • 4
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Wireshark捕获过滤器和显示过滤器
村中少年的专栏
12-17 4714
wireshark中非常实用的捕获过滤器以及显示过滤器使用技巧
Wireshark过滤器说明文档中文版
03-02
Wireshark 过滤器说明文档中文版 Wireshark 过滤器Wireshark 和 TShark 中的一个强大功能,能够帮助用户从数据包跟踪中去除干扰,只显示感兴趣的数据包。过滤器可以比较协议中的字段与特定值之间的差异,比较...
Wireshark基本使用(1)
diaohubie5623的博客
12-19 1114
原文出处: EMC中文支持论坛 按照国际惯例,从最基本的说起。 抓取报文: 下载和安装好Wireshark之后,启动Wireshark并且在接口列表中选择接口名,然后开始在此接口上抓包。例如,如果想要在无线网络上抓取流量,点击无线接口。点击Capture Options可以配置高级属性,但现在无此必要。 点击接口名称之后,就可以看到实时接收的报文。Wireshark会捕...
Wireshark系列之6 数据流追踪
08-17
Wireshark系列之6 数据流追踪 一文用到的资源 wireshark
Wireshark 抓包过滤命令大全,不会抓包的网工不是好网工(非常详细)零基础入门到精通,收藏这一篇就够了
Python_paipai的博客
07-11 2478
你好,这里是网络技术联盟站,我是瑞哥。Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。目录:抓包过滤基础显示过滤器常用的显示过滤器过滤 HTTP 流量。
Wireshark 跟踪TCP流
hbspring007的专栏
06-05 6892
打开捕获文件;在一个协议为TCP的包上右击,选择 追踪流-TCP;将进入TCP流追踪;   选择该菜单后,主面板上包列表里,仅列出本次TCP会话的包; 同时会在一个单独的窗口中显示TCP流; 看一下基本是乱码;大体能看出,是http1.1协议;是本机和百度的一个网址通信的情况; 红色是源到目的地;蓝色反之; 先看一下;需要详细解析的时候再说吧;   看一下本次会话最后一个包; eclick.e.shifen.com https(443) [ACK]
wireshark查看TCP
sinat_35705952的博客
04-11 1218
通过实验一的实验结果,我们可以得知,当客户端发起的 TCP 第一次握手 SYN 包,在超时时间内没收到服务端的 ACK,就会在超时重传 SYN 数据包,每次超时重传的 RTO 是翻倍上涨的,直到 SYN 包的重传次数到达 tcp_syn_retries 值后,客户端不再发送 SYN 包。如果不启用 SACK,就必须重传丢失包之后的每个数据包。接收窗口的大小,是在 TCP 三次握手中协商好的,后续数据传输时,接收方发送确认应答 ACK 报文时,会携带当前的接收窗口的大小,以此来告知发送方。
wireshark过滤器
03-17
Wireshark过滤器使用技巧包括: - 使用通配符和正则表达式进行模糊匹配。 - 使用`not`否定一个条件,例如 `not ip.src == 192.168.1.1` 将排除特定IP地址的数据包。 - 使用`and`和`or`组合多个条件,如 `(ip.src =...
WiresharkWireshark过滤器语言精讲.docx
最新发布
09-04
WiresharkWireshark过滤器语言精讲.docx
TCPTrace-TCP追踪
07-16
TcpTrace-TCP追踪,C#,Java…… 涉及Tcp的都可以用它追踪到。
tcptrace TCP端口监听工具 TCP跟踪
06-11
好用的TCP端口监听工具, 用於調試WCF, SOAP的工具
为什么wireshark有的地方显示的是乱码报文
12-09
为什么wireshark有的地方显示的是乱码 (https://blog.csdn.net/javajiawei/article/details/84329847)博文中用的几个报文
WireShark使用教程.pdf
06-27
过滤器分为两种:显示过滤器和捕获过滤器。显示过滤器在主界面中直接输入,用于筛选已捕获的记录;捕获过滤器在Capture > Capture Filters中设置,用于在捕获阶段减少无关数据包的记录。 过滤表达式的规则多种多样...
wireshark数据流跟踪-密码爆破溯源
m0_62621003的博客
06-24 1035
因为爆破的原理就是发送大量的爆破报文去尝试破解密码,所以在端点界面中点击packets,使得排序方式为从大到小排序。就可以在该图中得知192.168.10.5为发起爆破的主机,59.191.245.66为被爆破的主机。将过滤出来的报文,右键一个报文选中追踪tcp流,将数据重组,可以看到报文中携带的用户名以及密码。路径:Analyze-Foloow TCP stream 分析-跟踪tcp流。功能:将TCP、UDP、SSL等数据流进行重组并完整呈现出来。例如:在进行爆破溯源的时候,分析-端点可以进行统计。
Wireshark抓取网卡协议分析(TCP,UDP,ARP,DNS,DHCP,HTTP超详细版本)
热门推荐
CodeGou的博客
07-21 2万+
Wireshark抓取网卡协议分析(TCP,UDP,ARP,DNS,DHCP,HTTP超详细版本)
WireShark对tcp通信数据的抓包
2301_77164542的博客
05-06 2247
这样,原本的第二次挥手(ACK)和第三次挥手(FIN)就合并在了一个TCP报文中,因此抓包工具只会抓取到这个合并后的FIN+ACK报文以及后续的客户端ACK报文,总共是三个包。此时就可以进行数据传输了。[Protocols in frame: eth:ethertype:ip:tcp:data](帧内封装层次协议结构,eth:ethertype:ip:tcp,以太网,以太网协议,ip,tcp)Destination: 00:00:00_00:00:00 (00:00:00:00:00:00)(目标地址)
BUUCTF--Misc---easycap 追踪TCP流
半岛铁盒的博客
05-27 448
打开后发现全是TCP 那就追踪一下TCP流 flag{385b87afc8671dee07550290d16a8071}
wireshark过滤器使用
11-25
以下是Wireshark过滤器使用方法: 1. 在过滤器栏中输入过滤器表达式,例如:ip.addr == 8.8.8.8 2. 按下Enter键或点击过滤器栏旁边的Apply按钮,Wireshark将只显示符合过滤器表达式的数据包。 3. 可以使用逻辑运算符AND(&&)和OR(||)来组合多个过滤器表达式,例如:ip.src == 8.8.8.8 && ip.dst == 8.8.8.8 4. 可以使用括号来分组过滤器表达式,例如:(ip.addr == 8.8.8.8 || ip.addr == 10.0.0.0/16) && tcp.port == 80 5. 可以使用Wireshark的自动完成功能来快速输入过滤器表达式,只需输入过滤器表达式的一部分,然后按下Ctrl+空格键即可。 6. 可以使用Wireshark的预定义过滤器来快速过滤数据包,例如:http.response.code == 500 7. 可以使用Wireshark的显示过滤器来隐藏不想要显示的数据包,例如:http.response.code < 500
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

曼走丶999

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值