wireshark工具使用-流量分析

Wireeshark简介

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。                                       

— 百度百科

安装Wireshark

安装Wireshark十分简单,只需遵循以下步骤:

  1. 访问Wireshark官方网站下载对应操作系统的安装包:https://www.wireshark.org/download.html
  2. 运行安装程序,按照提示完成安装即可。

配置Wireshark

在首次运行Wireshark之前,我们需要进行一些基本配置:

  1. 更新Wireshark的协议库,以确保能够识别最新的网络协议。点击菜单栏的“帮助” > “检查更新”。
  2. 设置捕获过滤器,过滤掉不需要的数据包。例如,如果你只想捕获HTTP流量,可以设置过滤器:http
  3. 选择合适的网络接口。点击右上角的网络接口列表,选择需要捕获数据包的网络接口。

Wireshark基本使用方法

主界面
常用功能按钮  从左到右依次:
  • 1.开始新的抓包
  • 2.停止抓包
  • 3.重新开始抓包
  • 4.抓包设置
  • 5.打开已保存的抓包文件
  • 6.保存抓包文件
  • 7.关闭抓包文件
  • 8.重新加载抓包文件
  • 9.查找分组
  • 10.转到前一个分组
  • 11.转到后一个分组
  • 12.转到特定的分组
  • 13.转到第一个分组
  • 14.转到最后一个分组
  • 15.正在抓包时,自动定位到最新的分组
  • 16.分组着色
  • 17放大主窗口文字大小
  • 18缩小主窗口文字大小
  • 19重置主窗口文字大小
  • 20重置主窗口界面大小

过滤器的基本使用

1.过滤IP,例如源IP和目标IP

ip.src eq x.x.x.x or ip.dst == x.x.x.x 或者 ip.addr eq x.x.x.x

2. 过滤端口

tcp.port eq 80 or udp.port eq 80 源端口或者目的端口为80

tcp.dstport == 80  只显tcp协议的目标端口为80

tcp.srcport == 80  只显tcp协议的源端口为80

tcp.port >= 1 and tcp.port <= 80

3. 过滤协议

tcp/udp/arp/icmp/http/ftp/dns/ip…… 常用的协议

4.过滤MAC地址

eth.src eq b4:ae:2b:31:c5:07

eth.dst eq b4:ae:2b:31:c5:07

eth.addr == b4:ae:2b:31:c5:07

5. 过滤包长渡

udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和 。

tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身

ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后

frame.len == 119 整个数据包长度,从eth开始到最后

6. 过滤HTTP

http

http.request.method== "GET"

http.request.method== "POST"

http.request.uri =="/img/logo-edu.gif"

http contains "PNG"

结语

Wireshark的世界充满了无穷的奥秘,希望本文能帮助你迈出探索的第一步。请记住,网络数据包就像一张张“藏宝图”,等待你去发掘其中的秘密。祝你探险愉快!

  • 53
    点赞
  • 49
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值