Wireshark的使用初步

最新推荐文章于 2024-09-06 23:29:01 发布
最新推荐文章于 2024-09-06 23:29:01 发布
阅读量7.9k 收藏 151
点赞数 34
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51193993/article/details/110133440
版权

可以分析导入的日志记录,也可以实时监控本地接口,这里以本地接口为例:
在这里插入图片描述

wireshark的基本使用方法有数据包筛选、数据包搜索、数据包还原、 数据提取四大部分。

First.数据包筛选
源筛选ip,如图
在这里插入图片描述

或者手动操作 点击任意一个符合筛选条件的数据包,找到IPv4下的Source字段。右键点击Source字段,作为过滤器应用 – 选中。
在这里插入图片描述

目的ip筛选
ip.dst == ip地址

在这里插入图片描述

或者手动操作:
点击任意一个符合筛选条件的数据包,找到IPv4下的Destination字段,右键点击Destination字段,作为过滤器应用 – 选中。

1.2 mac地址筛选:
eth.dst ==A0:00:00:04:C5:84 筛选目标mac地址

eth.addr==A0:00:00:04:C5:84 筛选MAC地址

1.3 端口筛选:
tcp.dstport == 80 筛选tcp协议的目标端口为80 的流量包

tcp.srcport == 80 筛选tcp协议的源端口为80 的流量包

udp.srcport == 80 筛选udp协议的源端口为80 的流量包

1.4 协议筛选:
tcp 筛选协议为tcp的流量包

udp 筛选协议为udp的流量包

arp/icmp/http/ftp/dns/ip 筛选协议为arp/icmp/http/ftp/dns/ip的流量包

1.5 包长度筛选:
udp.length ==20 筛选长度为20的udp流量包

tcp.len >=20  筛选长度大于20的tcp流量包

ip.len ==20  筛选长度为20的IP流量包

frame.len ==20 筛选长度为20的整个流量包

1.6 http请求筛选
请求方法为GET:http.request.method==“GET”筛选HTTP请求方法为GET的 流量包

请求方法为POST:http.request.method==“POST”筛选HTTP请求方法为POST的流量包

指定URI:http.request.uri==“/img/logo-edu.gif”筛选HTTP请求的URL为/img/logo-edu.gif的流量包

请求或相应中包含特定内容:http contains “FLAG” 筛选HTTP内容为/FLAG的流量包

2.数据包搜索
在wireshark界面按“Ctrl+F”,可以进行关键字搜索:

在这里插入图片描述

Wireshark的搜索功能支持正则表达式、字符串、十六进制等方式进行搜索,通常情况下直接使用字符串方式进行搜索。
在这里插入图片描述

搜索栏的左边下拉,有分组列表、分组详情、分组字节流三个选项,分别对应wireshark界面的三个部分,搜索时选择不同的选项以指定搜索区域:

搜索栏的左边下拉,有分组列表、分组详情、分组字节流三个选项,分别对应wireshark界面的三个部分,搜索时选择不同的选项以指定搜索区域

这是分组列表

在这里插入图片描述

这是分组详情:
在这里插入图片描述
分组字节流:
在这里插入图片描述

  1. 数据包还原
    在wireshark中,存在一个交追踪流的功能,可以将HTTP或TCP流量集合在一起并还原成原始数据,具体操作方式如下:

选中想要还原的流量包,右键选中,选择追踪流 – TCP流/UPD流/SSL流/HTTP流。
在这里插入图片描述

可在弹出的窗口中看到被还原的流量信息:
在这里插入图片描述

  1. 数据提取
    Wireshark支持提取通过http传输(上传/下载)的文件内容,方法如下:

选中http文件传输流量包,在分组详情中找到data或者Line-based text data:text/html层,鼠标右键点击 – 选中 导出分组字节流。
在这里插入图片描述

如果是菜刀下载文件的流量,需要删除分组字节流前开头和结尾的X@Y字符,否则下载的文件会出错。鼠标右键点击 – 选中 显示分组字节… 在弹出的窗口中设置开始和结束的字节(原字节数开头加3,结尾减3)最后点击save as按钮导出。
(偷别人图)
在这里插入图片描述

vper123
关注
专栏目录
第21章 Wireshark初步使用
Venus_majian
07-01 336
概述混杂模式就是接收所有经过网卡的数据包,包括不是发给本机的包,即不验证MAC地址。普通模式下网卡只接收发给本机的包(包括广播包)传递给上层程序,其它的包一律丢弃。一般来说,混杂模式不会影响网卡的正常工作,多在网络监听工具上使用。开启混杂模式入口:捕获 – 选项。
wireshark特定rtp分组导出步骤
11-17
使用Wireshark快速导出特定ssrc的rtp分组,http://wiki.wireshark.org/Development/LibpcapFileFormat
头哥实验“wireshark 基本使用
最新发布
无极的博客
09-06 687
按行显示已被捕获的分组内容,其中包括: WireShark 赋予的分组序号、捕获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。启动环境后,点开桌面“workspace”文件夹,点开“myshixun”,点开“message1-1.txt”,先把文档里有的字的删了,然后把下面的字整个复制进去到文档里,按ctrl+s保存,点击“评测”就行了。A.单击中间网络接口列表中,某一网络接口如eth0,选中网络接口,通过菜单“捕获”-“开始”或工具栏中的 按钮,开始捕获选定接口中的网络分组
Wireshark显示过滤器常用关键字及过滤表达式
geriletuma
08-15 1581
Wireshark工具及其过滤器简介,详细介绍了常用显示过滤器关键字及过滤表达式,附带常用过滤表达式。
结合Wireshark捕获分组深入理解DNS协议
zhaqiwen的专栏
01-09 2万+
一、概述 1.1 DNS     识别主机有两种方式:主机名、IP地址。前者便于记忆(如www.yahoo.com),但路由器很难处理(主机名长度不定);后者定长、有层次结构,便于路由器处理,但难以记忆。折中的办法就是建立IP地址与主机名间的映射,这就是域名系统DNS做的工作。DNS通常由其他应用层协议使用(如HTTP、SMTP、FTP),将主机名解析为IP地址,其运行在UDP之上,使用53号
网络分组分析软件 Wireshark 介绍
weixin_34313182的博客
12-25 377
Wireshark(前称Ethereal)是一个网络分组分析软件。网络分组分析软件的功能是截取网络分组,并尽可能显示出最为详细的网络分组数据。 在过去,网络分组分析软件是非常昂贵,或是专门属于营利用的软件,Wireshark的出现改变了这一切。在GNU GPL通用许可证的保障范围底下,用户可以以免费的代价取得软件与其代码,并拥有针对其源代码修改及定制化的权利。Wires...
wireshark过滤包规则
qq_40298645的博客
06-21 5668
1. Wireshark过滤语句中常用的操作符关键字有: contains和matches关键字“contains”过滤包含指定字符串的数据包。例如:http.request.uri contains “/dll/test.htm?” //过滤http请求的uri中含有/dll/test.htm?字段的请求信息udp contains 81:60:03 //过滤包含81:60:03的udp数据包http.request.uri matches “V4=..1″ //matches 匹配过滤条件中给定的正则表
3.4 Wireshark 初步入门 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-04
本章节将介绍Wireshark的基本概念、安装方法以及初次使用的一些关键点。 3.4 Wireshark初入门 在深入研究Wireshark的功能之前,我们需要了解其历史和优势。Wireshark起源于1998年的Ethereal项目,由Gerald Combs...
wireshark抓包分析数据怎么看 wireshark使用教程_wireshark怎么看
2301_76223496的博客
05-06 673
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
分组嗅探器的使用和网络协议的层次观察(wireshark初步使用
weixin_49182737的博客
05-01 2860
分组嗅探器的使用和网络协议的层次观察(wireshark初步使用) 一、打开wireshark,开始抓包 双击打开wireshark,等待其自动扫描本地接口完成 扫描本地接口完成,出现本地可用的网络接口(图中接口右边有波浪线的代表此接口现在正在进行数据包传输) 找到你想要抓包的网络接口,双击开始抓包,点击红色按钮停止抓包 捕获到的数据包将会显示在下方 二、捕获数据包内容项目 从左往右依次为:数据包序号(按捕获顺序排列)、捕获数据包的时间(此处为相对时间,以捕获到的第一个数据包为0时)、源IP地址(这
2024年最新超详细的wireshark抓包使用教程_抓包工具wireshark
2301_82257383的博客
05-01 3034
从下图可以看到wireshark捕获到的TCP包中的每个字段。4. Dissector Pane(数据包字节区)。
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
wireshark使用
m0_55185160的博客
08-12 3688
1.Wireshark是什么? Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 2.Wireshark基本使用方法 Wireshark的基本使用分为数据包筛选、数据包搜索、数据包还原、数据提取四个部分。 3.数据包筛选 Wireshark的数据包筛选功能是wireshark的核心功能,比如需要筛选出特定...
Wireshark基本使用方法
m0_61506558的博客
08-16 4532
1、Wireshark介绍Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是结取网络封包,并尽可能 显示出最为详细的网络封包资料。
wireshark网络安全流量分析基础
2201_75719295的博客
04-07 1996
作为网络流量安全分析的好工具,功能其实也很多,本次分享的只是一些常见功能,如果对网络流量安全分析感兴趣,可以多去使用wireshark研究攻击数据包特征,可以先从简单web攻击数据包开始,再去看看一些窃密、木马、APT相关数据包,后面我也会慢慢分享一些关于分析威胁流量包的文章,也是记录自己的一个学习过程。其他协议相关文件也一样。海量数据中要想能察觉到可疑通信,找到攻击的蛛丝马迹,那就需要对一些端口、协议、请求方式和攻击特征等进行过滤,不断缩小可疑流量范围,才能更好进一步分析达到最终溯源的目的。
如何使用Wireshark进行 关键字过滤、报文过滤、报文关键字过滤 以及查找
热门推荐
fan7983377的博客
09-27 3万+
推荐 Wireshark使用教程(界面说明、捕获过滤器表达式、显示过滤器表达式) Wireshark常用过滤使用方法 过滤 打开主页面能看到很多报文,但是从这么多报文中筛选我们需要的某个类型的报文,就需要用到表达式功能,比如下面,只让列表显示Pairing相关的内容: 首先点击“表达式…” 然后输入首先在下面搜索的范围,比如我们这里要从airoha里面获取相关的内容,这里就输入“airo...
二.wireshark过滤[如何过滤信息]
黑日里不灭的light
01-04 2万+
一.参数过滤 1.捕获过滤器 解释:该过滤是为了在抓包时筛选出符合指定规则的包,其余包直接丢弃不会抓,该规则同scapy中的sniff(filter='过滤')一样 1.1 语法 语法:<Protocol> <Direction> <Host(s)> < Value> < Logical Operations> <Other expression> 1.2 详细 详细: Protocol(协议): ether, ip,arp, tc
信息安全实验——网络嗅探技术
weixin_51970555的博客
10-02 2643
1、认识Wireshark主要窗口,使用wireshark抓取分组并筛选分组2、对抓取的某一分组中给定的字段信息进行获取。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值