Wireeshark简介
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
— 百度百科
安装Wireshark
安装Wireshark十分简单,只需遵循以下步骤:
- 访问Wireshark官方网站下载对应操作系统的安装包:https://www.wireshark.org/download.html
- 运行安装程序,按照提示完成安装即可。
配置Wireshark
在首次运行Wireshark之前,我们需要进行一些基本配置:
- 更新Wireshark的协议库,以确保能够识别最新的网络协议。点击菜单栏的“帮助” > “检查更新”。
- 设置捕获过滤器,过滤掉不需要的数据包。例如,如果你只想捕获HTTP流量,可以设置过滤器:
http
。 - 选择合适的网络接口。点击右上角的网络接口列表,选择需要捕获数据包的网络接口。
Wireshark基本使用方法
主界面![](https://img-blog.csdnimg.cn/direct/f1350630db4b4632bf2f2a092a843e6b.png)
常用功能按钮 从左到右依次:
- 1.开始新的抓包
- 2.停止抓包
- 3.重新开始抓包
- 4.抓包设置
- 5.打开已保存的抓包文件
- 6.保存抓包文件
- 7.关闭抓包文件
- 8.重新加载抓包文件
- 9.查找分组
- 10.转到前一个分组
- 11.转到后一个分组
- 12.转到特定的分组
- 13.转到第一个分组
- 14.转到最后一个分组
- 15.正在抓包时,自动定位到最新的分组
- 16.分组着色
- 17放大主窗口文字大小
- 18缩小主窗口文字大小
- 19重置主窗口文字大小
- 20重置主窗口界面大小
过滤器的基本使用
1.过滤IP,例如源IP和目标IP
ip.src eq x.x.x.x or ip.dst == x.x.x.x 或者 ip.addr eq x.x.x.x
2. 过滤端口
tcp.port eq 80 or udp.port eq 80 源端口或者目的端口为80
tcp.dstport == 80 只显tcp协议的目标端口为80
tcp.srcport == 80 只显tcp协议的源端口为80
tcp.port >= 1 and tcp.port <= 80
3. 过滤协议
tcp/udp/arp/icmp/http/ftp/dns/ip…… 常用的协议
4.过滤MAC地址
eth.src eq b4:ae:2b:31:c5:07
eth.dst eq b4:ae:2b:31:c5:07
eth.addr == b4:ae:2b:31:c5:07
5. 过滤包长渡
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和 。
tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后
6. 过滤HTTP
http
http.request.method== "GET"
http.request.method== "POST"
http.request.uri =="/img/logo-edu.gif"
http contains "PNG"
结语
Wireshark的世界充满了无穷的奥秘,希望本文能帮助你迈出探索的第一步。请记住,网络数据包就像一张张“藏宝图”,等待你去发掘其中的秘密。祝你探险愉快!