【网络数据报分析工具】Wireshark

最新推荐文章于 2024-02-02 09:43:16 发布
最新推荐文章于 2024-02-02 09:43:16 发布
阅读量3.6k 收藏 9
点赞数 2
分类专栏: 工具使用 文章标签: 网络 wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52923241/article/details/122142021
版权

客户端界面简介

打开Wireshark后,能够看到三个区域。

最上方是工具栏区域,可以开始捕获、停止捕获等操作。

中间是Cpature Filter区域,能够在开始捕获前指定过滤规则。

下方是可以捕获的网络设备,双击其中一个设备后就开始进行网络流量的捕获。
在这里插入图片描述

WireShark 主要分为这几个界面

\1. Display Filter(显示过滤器), 用于过滤

\2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表

\3. Packet Details Pane(封包详细信息), 显示封包中的字段

\4. Dissector Pane(16进制数据)

\5. Miscellanous(地址栏,杂项)

1号窗口展示的是wireshark捕获到的所有数据包的列表。注意最后一列Info列是wireshark组织的说明列并不一定是该数据包中的原始内容。
2号窗口是1号窗口中选定的数据包的分协议层展示。底色为红色的是因为wireshark开启校验和验证而该层协议校验和又不正确所致。
3号窗口是1号窗口中选定的数据包的源数据,其中左侧是十六进制表示,右侧是ASCII码表示。另外在2号窗口中选中某层或某字段,3号窗口对应位置也会被高亮。

在这里插入图片描述

  • Packet Details Pane封包详细信息(二号窗口)
    2号窗口展开后的内容,以IP层为例:
    每一行就对应该层协议的一个字段;中括号行是前一字段的说明。
    冒号前的英文是协议字段的名称;冒号后是该数据包中该协议字段的值。

    对应的OSI七层模型
    在这里插入图片描述

    每个字段详解
    在这里插入图片描述

  • 过滤器

    一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录

    一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录

  • 过滤表达式规则

    (1)比较操作符

    比较操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

    (2)协议过滤

    比较简单,直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。 tcp,只显示TCP协议的数据包列表 http,只查看HTTP协议的数据包列表 icmp,只显示ICMP协议的数据包列表

    (3) ip过滤

    ip.src 192.168.1.104 显示源地址为192.168.1.104的数据包列表 ip.dst192.168.1.104, 显示目标地址为192.168.1.104的数据包列表 ip.addr == 192.168.1.104 显示源IP地址或目标IP地址为192.168.1.104的数据包列表

    (4)端口过滤

    tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。 tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。 tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表。

    (5) Http模式过滤

    http.request.method==“GET”, 只显示HTTP GET方法的。

    (6)逻辑运算符为 and/or/not

    过滤多个条件组合时,使用and/or。比如获取IP地址为192.168.1.104的ICMP数据包表达式为ip.addr == 192.168.1.104 and icmp
    (7)按照数据包内容过滤。

    假设我要以IMCP层中的内容进行过滤,可以单击选中界面中的码流,在下方进行选中数据。右键–>准备过滤器–>选中–>添加条件表达式,如data contains "uestc"

  • 使用小技巧参考博客

吃_早餐
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
wireshark过滤器
03-17
NULL 博文链接:https://eyesmore.iteye.com/blog/543452
wireshark表达式 02
myKernel
11-14 4082
一、IP过滤:包括来源IP或者目标IP等于某个IP   比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP   ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP 二、端口过滤:   比如:tcp.port eq 80 //
Wireshark数据
最新发布
weixin_47763079的博客
02-02 444
Info显示内容为数据包的简要信息,如是否是建立连接的数据包,或者是里面是否含有具体数据数据包等状态信息。Wireshark数据包使用非常广泛,可以分析检测网络相关问题,定位通讯故障,甚至抓取网络包的内容信息。Protocol显示内容为数据使用协议,可以简单分析出当前数据包是哪个应用或者哪个进程的发生数据信息。鼠标双击某数据包,即弹出新窗口,窗口上半部分是数据包内容展示窗口,下半部分是数据包字节窗口。Destination显示内容为数据包的目的设备或主机,以IP地址方式显示。
Wireshark过滤规则
数字世界让我们灵魂永存
09-19 2550
编者注:由于该文章本人进行了简单整理,又忘了文章出处,暂定为原创。若它属于你的劳动果实,请谅解并告知! 一、IP过滤:包括来源IP或者目标IP等于某个IP 比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.
wireshark过滤语法总结
热门推荐
cumirror的专栏
12-09 19万+
做应用识别这一块经常要对应用产生的数据流量进行分析。 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考。(脑子记不住东西) wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤。 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如tc
Wireshark常见的TCP Info
Mayunsheng
10-16 2万+
Wireshark常见的TCP Info1. TCP out-of-order segmentTCP存在问题。 Wireshark判断TCP out-of-order是基于TCP包SEQ number并非期望收到的下一个SEQ number,则判断为out-of-order。因此,出现TCP out-of-order时,很大可能是TCP存在乱序或丢包,导致接收端的seq number不连续。
二.wireshark过滤[如何过滤信息]
黑日里不灭的light
01-04 1万+
一.参数过滤 1.捕获过滤器 解释:该过滤是为了在抓包时筛选出符合指定规则的包,其余包直接丢弃不会抓,该规则同scapy的sniff(filter='过滤')一样 1.1 语法 语法:<Protocol> <Direction> <Host(s)> < Value> < Logical Operations> <Other expression> 1.2 详细 详细: Protocol(协议): ether, ip,arp, tc
wireshark info 解析
某呆
12-04 4662
Packet size limited during capture 说明被标记的那个包没有抓全,一般是由抓包方式引起。 tcpdump -i eth0 -s 1000 -w /tmp/tmp.cap 抓1000字节的包 TCP Previous segment not captured 同一台主机发出的数据段应该是连续的,即后一个包的Seq号等于前一个包的Seq+Len。假如缺失的那段数据在整个网络都找不到(即排除了乱序),就会提示 TCP Previous segment not captu..
Wireshark常用过滤使用方法
m0_49448331的博客
11-25 3460
过滤源ip、目的ip。 在wireshark的过滤规则框Filter输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1 端口过滤。 如过滤80端口,在Filter输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包 协议过滤 比较简单,直接在Filt..
wireshark筛选dhcp包_【转】Wireshark过滤规则筛选数据
weixin_39815329的博客
12-19 748
http://blog.sina.com.cn/s/blog_60a65db5010135ib.html一、IP过滤:包括来源IP或者目标IP等于某个IP比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IPip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0....
络达开发-Wireshark消息过滤
03-03 1295
在用wireshark查看实时打印的日志时候,默认是全部都显示的,消息量很大,在此讲述如果对这些消息进行过滤,只显示感觉的内容。 如下图所示,比如我们只关注下图红圈的消息:[M:uishell C:info F: L:]: ui_shell_send_event: 0x2..... 那么点击A处按键,调出过滤器,进行如下图的配置: 然后点击下图的B片按键 ,列表就只显示跟 输入关键字相关的内容了。 .........
网络封包分析工具 Wireshark 3.4.5 + x64.zip
04-23
网络封包分析工具 Wireshark Portable 文多语特别版 网络封包分析工具 Wireshark Portable 文多语特别版 Wireshark 文便携版使用 WinPCAP 作为接口,直接与网卡进行数据文交换。网络封包分析软件的功能可...
网络协议分析工具Wireshark压缩包
11-17
Wireshark 是一款功能强大的网络协议分析工具Wireshark 允许您将捕获的数据包导出为不同的格式,如 PCAP、CSV、JSON 等。您还可以将捕获的数据包分享给其他人,以便于共享和协作分析。它在网络管理、网络安全和...
网络分析工具Wireshark使用教程
03-23
网络分析工具Wireshark使用教程!Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用...
网络协议分析工具Wireshark的使用
03-23
NULL 博文链接:https://touch-2011.iteye.com/blog/1062132
网络分析工具-WireShark
07-13
WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。...在网络封包和流量分析领域有着十分强大功能的工具,深受各类网络工程师和网络分析师的喜爱。
Wireshark 网络分析工具使用教程
05-05
Wireshark网络分析工具网络分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。 你可以把网络分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像使电工用来测量...
wireshark数据分析
04-04
数据分析教程
WireShark 网络流量分析抓包工具
09-06
Wireshark(前称Ethereal)是一个网络封包分析软件。 wireshark的特点是开源, 免费,跨平台,同时图形话界面,使用起来还是十分方便的。
wireshark数据分析实战详解王晓卉pdf
09-05
Wireshark是一款常用的网络数据分析工具,能够帮助用户捕获和分析网络数据,从而实现网络故障诊断、网络安全监测等功能。 本书主要分为以下几个部分:第一部分介绍了Wireshark的基本知识和使用方法,包括如何安装...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吃_早餐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值