【网络数据报分析工具】Wireshark

最新推荐文章于 2024-10-10 21:10:53 发布
最新推荐文章于 2024-10-10 21:10:53 发布
阅读量4.1k 收藏 12
点赞数 3
分类专栏: 工具使用 文章标签: 网络 wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52923241/article/details/122142021
版权

客户端界面简介

打开Wireshark后,能够看到三个区域。

最上方是工具栏区域,可以开始捕获、停止捕获等操作。

中间是Cpature Filter区域,能够在开始捕获前指定过滤规则。

下方是可以捕获的网络设备,双击其中一个设备后就开始进行网络流量的捕获。
在这里插入图片描述

WireShark 主要分为这几个界面

\1. Display Filter(显示过滤器), 用于过滤

\2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表

\3. Packet Details Pane(封包详细信息), 显示封包中的字段

\4. Dissector Pane(16进制数据)

\5. Miscellanous(地址栏,杂项)

1号窗口展示的是wireshark捕获到的所有数据包的列表。注意最后一列Info列是wireshark组织的说明列并不一定是该数据包中的原始内容。
2号窗口是1号窗口中选定的数据包的分协议层展示。底色为红色的是因为wireshark开启校验和验证而该层协议校验和又不正确所致。
3号窗口是1号窗口中选定的数据包的源数据,其中左侧是十六进制表示,右侧是ASCII码表示。另外在2号窗口中选中某层或某字段,3号窗口对应位置也会被高亮。

在这里插入图片描述

  • Packet Details Pane封包详细信息(二号窗口)
    2号窗口展开后的内容,以IP层为例:
    每一行就对应该层协议的一个字段;中括号行是前一字段的说明。
    冒号前的英文是协议字段的名称;冒号后是该数据包中该协议字段的值。

    对应的OSI七层模型
    在这里插入图片描述

    每个字段详解
    在这里插入图片描述

  • 过滤器

    一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录

    一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录

  • 过滤表达式规则

    (1)比较操作符

    比较操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

    (2)协议过滤

    比较简单,直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。 tcp,只显示TCP协议的数据包列表 http,只查看HTTP协议的数据包列表 icmp,只显示ICMP协议的数据包列表

    (3) ip过滤

    ip.src 192.168.1.104 显示源地址为192.168.1.104的数据包列表 ip.dst192.168.1.104, 显示目标地址为192.168.1.104的数据包列表 ip.addr == 192.168.1.104 显示源IP地址或目标IP地址为192.168.1.104的数据包列表

    (4)端口过滤

    tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。 tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。 tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表。

    (5) Http模式过滤

    http.request.method==“GET”, 只显示HTTP GET方法的。

    (6)逻辑运算符为 and/or/not

    过滤多个条件组合时,使用and/or。比如获取IP地址为192.168.1.104的ICMP数据包表达式为ip.addr == 192.168.1.104 and icmp
    (7)按照数据包内容过滤。

    假设我要以IMCP层中的内容进行过滤,可以单击选中界面中的码流,在下方进行选中数据。右键–>准备过滤器–>选中–>添加条件表达式,如data contains "uestc"

  • 使用小技巧参考博客

wireshark抓取分析IP
weixin_43704007的博客
02-12 5664
IP协议提供不可靠连接的数据传输服务,IP层提供的服务是通过IP层对数据的封装与拆封来实现的。IP数据的格式分为头区与数据区两大部分,其头区是为了正确传输高层数据而加的各种控制信息,数据区包括高层协议需要传输的数据
Wireshark常见的TCP Info
热门推荐
Mayunsheng
10-16 2万+
Wireshark常见的TCP Info1. TCP out-of-order segmentTCP存在问题。 Wireshark判断TCP out-of-order是基于TCP包SEQ number并非期望收到的下一个SEQ number,则判断为out-of-order。因此,出现TCP out-of-order时,很大可能是TCP存在乱序或丢包,导致接收端的seq number不连续。
Wireshark CLI | Capinfos 篇
7ACE的博客
06-03 572
Wireshark CLI | Capinfos 篇
Wireshark数据抓包分析之传输层协议(TCP协议)
蚁景网安学院
02-22 2647
使用TCP协议传输数据相对来说更安全,因为通信双方拥有一个专属的通信通道,每发送一个数据包都有确认回复,若数据包丢失。如果发送放没收到确认包,就可以重发这个数据包。 最经典的例子就是三次握手。三次握手是通信双方建立TCP连接前的必须步骤。第一次握手时请求方向接收方发送友好问候,请求建立连接。第二次握手接收方礼貌回复,表示收到请求。第三次握手请求方坚定交往信息,向接收方表示已做好了连接准备。于是双方的TCP连接就建好啦~ 完成三次握手后,双方就可以开始传输数据了。当然,握手很严谨,说再见也是一丝不苟的。详细内
揭秘网络流量分析的秘密 WireShark使用教程
最新发布
Cha3043445754的博客
10-10 569
工具主要用来捕获网络数据包,并自动解析网络数据包,为用户显示数据包详细信息,供用户对数据包进行分析ARP协议ICMP 协议TCP 协议UDP协议DNS协议HTTP协议菜单栏:用于调试、配置工具栏:常用功能的快捷方式过滤栏:指定过滤条件,过滤数据数据包列表:核心区域,每一行就是一个数据数据包详情:数据包的详细数据数据包字节:数据包对应的字节流,二进制这里可以过滤掉我们不关心的数据过滤器是Wireshark的核心功能,也是我们平时使用最多的一个功能。
wireshark info 解析
某呆
12-04 4905
Packet size limited during capture 说明被标记的那个包没有抓全,一般是由抓包方式引起。 tcpdump -i eth0 -s 1000 -w /tmp/tmp.cap 抓1000字节的包 TCP Previous segment not captured 同一台主机发出的数据段应该是连续的,即后一个包的Seq号等于前一个包的Seq+Len。假如缺失的那段数据在整个网络都找不到(即排除了乱序),就会提示 TCP Previous segment not captu..
Wireshark数据
Q的博客
02-02 563
Info显示内容为数据包的简要信息,如是否是建立连接的数据包,或者是里面是否含有具体数据数据包等状态信息。Wireshark数据包使用非常广泛,可以分析检测网络相关问题,定位通讯故障,甚至抓取网络包的内容信息。Protocol显示内容为数据使用协议,可以简单分析出当前数据包是哪个应用或者哪个进程的发生数据信息。鼠标双击某数据包,即弹出新窗口,窗口上半部分是数据包内容展示窗口,下半部分是数据包字节窗口。Destination显示内容为数据包的目的设备或主机,以IP地址方式显示。
最全Wireshark网络抓包分析_wireshark抓包数据怎么看,想给金三银四找工作的程序员几点建议
2401_84978645的博客
05-16 4082
ICMP(Internet Control Message Protocol)网际文控制协议,用于传输错误告控制信息,对网络安全有极其重要的意义。例如请求的服务不可用、主机或路由不可达,ICMP协议依靠IP协议来完成任务,是IP协议的一个集成部分。通常不被用户网络程序直接使用,多用于ping和tracert等这样的诊断程序。UDP(User Datagram Protocol)用户数据协议,提供面向事务的简单不可靠信息传送服务。将网络数据流压缩成数据包的形式。
关于wireshark抓包的那点事儿
weixin_33935505的博客
09-01 369
关于wireshark抓包的那点事儿三次握手172.18.254.177为客户111.13.2.158为服务端1、主动打开。发送SYN,协商windowsize、TCPMSSseq=0len=0MSS=1460win=65535最大窗口大小客户端为syn_sent服务端为syn_recv2、接收到syn。回复synackseq=0ack...
网络通信协议使用wireshark分析ping
03-14
网络通信协议Wireshark是一款功能强大的网络协议分析工具,它可以捕获和显示网络协议数据包的详细信息。在这里,我们将使用Wireshark分析Ping文,了解Ping文的结构和组成部分。 Ping文结构 Ping...
Wireshark深度解析:网络数据分析网络拓扑探索
"基于Wireshark网络数据分析与应用" Wireshark是一款强大的网络封包分析工具,广泛应用于网络故障排查、网络安全检测以及网络协议的学习。它允许用户捕获实时网络流量,深入解析网络数据文,揭示网络通信的...
wireshark源码
06-10
wireshark源码分析问题这几天在看wireshark(ethereal)源代码。看源代码的主要兴趣点是它的分析模块(dissect)。分析之后他的数据存在哪儿,怎么打印的(-V参数)。我想把分析后的数据,提取出来,存在自己定义的数据结构里面,或者按我自己的格式写入文本。 看了几天,对一些数据结构,似懂非懂,一些流程也是似懂非懂。可能由于经验不足的原因,搞来搞去就在几个函数,结构体里面打转。好几次以为找到切入点,发现又回来原来的起点。 这两天看晕了。有点打击,水平太差劲了。。呵呵。先这边问问,看看有没有熟悉的朋友。指点一下。先谢谢了。 这样问问题可能太细了。感觉也不大合适。 1. 我应该如何来看代码?如何找到突破点? 2. 有wireshark有了解的朋友,说说你们关于源码剖析的体会。 3. 说什么都可以,朋友觉得对我有用,有启发就好。千万别 “我顶,UP啊”。呵呵:emn23:我觉得重要的是看 pcap库 本帖最后由 peidright 于 2010-04-02 16:36 编辑 楼上说得对!。 看源代码之前,问下你自己,看代码的目的是什么? 对于 wireshark 来说,你是想学他写界面? 还是抓包? 还是业务逻辑? 界面的话,wireshark 还行 抓包的话,应该看pcap库 业务逻辑的话。不应该看wireshark,看tcpdump.看下啊,:em03:看看这个也许对你有帮助 添加一个基础的RDP解析器 下面我们将循序渐进地设计一个基础的RDP解析器。它依次包含如下构成要素: 包类型字段(占用8比特位,可能的值为:1,初始;2,终结;3,数据); 标志集字段(占用8比特位:0x01,开始包;0x02,结束包;0x04先包); 序列号字段(占用16比特位); 1. 创建解析器 首先您需要选择解析器的类型:内置型(包含在主程序)或插件型。 插件是容易编写的,先做一个插件型解析器吧。 例1. 解析器初始设定. #ifdef HAVE_CONFIG_H #include "config.h" #endif #include #include void proto_register_rdp(); void proto_reg_handoff_rdp(); static void dissect_rdp(tvbuff_t *tvb,packet_info *pinfo,proto_tree *tree); static int proto_rdp=-1; static dissector_handle_t rdp_handle; static gint ett_rdp = -1; define TCP_PORT_RDP 3389 void proto_register_rdp(void) { proto_rdp=proto_register_protocol( "RDP Protocol", "RDP", "rdp"); } 现在来逐一分析这段代码。首先我们有一些常规的包含文件,最好依惯例在文件开始包含进来。随后是一些函数的前置声明,我们稍后定义它们。 接下来我们定义了一个整型变量"proto_rdp"用于记录我们的协议注册信息。它被初始化为"-1",当解析器注册到主程序后,其值便会得到更新。这样做可保证我们方便地判断是否已经做了初始工作。将所有不打算对外输出的全局变量和函数声明为"static"是一个良好的习惯,因为这可以保证命名空间不被污染。通常这是容易做到的,除非您的解析器非常庞大以致跨越多个文件。 之后的模块变量"TCP_PORT_RDP"则包含了协议使用的TCP端口号,我们会对通过该端口的数据流进行解析。 solaris10下proc编译问题 >紧随其后的是解析器句柄"rdp_handle",我们稍后对它进行初始化。 至此我们已经拥有了和主程序交互的基本元素,接下来最好再把那些预声明的函数定义一下,就从注册函数"proto_register_rdp"开始吧。 首先调用函数"proto_register_protocol"注册协议。我们能够给协议起3个名字以适用不同的地方。全名和短名用在诸如"首选项(Preferences)"和"已激活协议(Enabled protocols)"对话框以及记录已生成的域名列表内。缩略名则用于过滤器。 下面我们需要一个切换函数。 例2. 解析器切换. void proto_reg_handoff_rdp(void) { static gboolean initialized=FALSE; if(!initialized) { rdp_handle = create_dissector_handle(dissect_rdp, proto_rdp); dissector_add("tcp.port", TCP_PORT_RDP, rdp_handle); initialized=TRUE; } } 这段代码做了什么呢?如果解析器尚未初始化,则对它进行初始化。首先创建解析器。这时注册了了函数"dissect_rdp"用于完成实际的解析工作。之后将该解析器与TCP端口号相关联,以使主程序收到该端口的UDP数据流时通知该解析器。 至此我们终于可以写一些解析代码了。不过目前我们仅写点儿基本功能占个位置。 例3.解析 static void dissect_rdp(tvbuff_t *tvb,packet_info *pinfo,proto_tree *tree) { if(check_col(pinfo->cinfo, COL_PROTOCOL)) { col_set_str(pinfo->cinfo, COL_PROTOCOL, "RDP"); } if(check_col(pinfo->cinfo,COL_INFO)) { col_clear(pinfo->cinfo,COL_INFO); } } 该函数用于解析传递给它的数据包。包数据由"tvb"参数指向的特殊缓冲区保管。现在我们已深入到协议的细节,对它们您肯定是了若指掌。包信息结构参数"pinfo"包含了协议的基本数据,以供我们更新。参数"tree"则指明了详细解析发生的地方。 这里我们仅做了保证通过的少量工作。前两行检查UI"协议(Protocol)"列是否已显示。如果该列已存在,就在这儿显示我们的协议名称。这样人们就知道它被识别出来了。另外,如果"信息(INFO)"列已显示,我们就将它的内容清除。 至此我们已经准备好一个可以编译和安装的基本解析器。不过它目前只能识别和标示协议。 为了编译解析器并创建插件,还需要在解析器代码文件"packet-rdp.c"所在目录下创建一些提供支持的文件: - Makefile.am - UNIX/Linux的makefile模板 - Makefile.common - 包含了插件文件的名称 - Makefile.nmake - 包含了针对Windows平台的Wireshark插件makefile - moduleinfo.h - 包含了插件版本信息 - moduleinfo.nmake - 包含了针对Windows平台的DLL版本信息 - packet-rdp.c - 这是您的解析器原代码文件 - plugin.rc.in - 包含了针对Windows平台的DLL资源模板 "Makefile.common"和"Makefile.am"文件涉及到相关文件和解析器名称的地方一定要修改正确。"moduldeinfo.h"和"moduleinfo.nmake"文件的版本信息也需要正确填充。一切准备妥善后就可以将解析器编译为DLL或共享库文件了(使用nmake工具)。在wireshark文件夹下的"plugins"文件夹,建立"rdp"文件夹。将修改过的Makefile.common,Makefile.am,moduleinfo.nmake,moduldeinfo.h,Makefile.nmake及packet-rdp.c文件考到"rdp"文件夹下,然后进行编译,rdp插件自动生成完整,就可以正常工作了。 1. 解析协议细节 现在我们已经有了一个可以运用的简单解析器,让我们再为它添点儿什么吧。首先想到的应该就是标示数据包的有效信息了。解析器在这方面给我们提供了支持。 首先要做的事情是创建一个子树以容纳我们的解析结果。这会使协议的细节显示得井井有条。现在解析器在两种情况下被调用http://www.boomss.com:其一,用于获得数据包的概要信息;其二,用于获得数据包的详细信息。这两种情况可以通过树指针参数"tree"来进行区分。如果树指针为NULL,我们只需要提供概要信息;反之,我们就需要拆解协议完成细节的显示了。基于此,让我们来增强这个解析器吧。 例4 static void dissect_rdp(tvbuff_t *tvb,packet_info *pinfo,proto_tree *tree) { proto_item *ti=NULLV; if(check_col(pinfo->cinfo,COL_PROTOCOL)) { col_set_str(pinfo->cinfo,COL_PROTOCOL,"RDP"); } if(check_col(pinfo->cinfo,COL_INFO)) { col_clear(pinfo->cinfo,COL_INFO); } if(tree) { ti = proto_tree_add_item(tree, proto_rdp, tvb, offset, -1, FALSE);} } 这里我们为解析添加一个子树。它将用于保管协议的细节,仅在必要时显示这些内容。 我们还要标识被协议占据的数据区域。在我们的这种情况下,协议占据了传入数据的全部,因为我们假设协议没有封装其它内容。因此,我们用"proto_tree_add_item"函数添加新的树结点,将它添加到传入的协议树"tree",用协议句柄"proto_rdp"标识它,用传入的缓冲区"tvb"作为数据,并将有效数据范围的起点设为"0",长度设为"-1"(表示缓冲区内的全部数据)。至于最后的参数"FALSE",我们暂且忽略。 做了这个更改之后,在包明细面板区应该会出现一个针对该协议的标签;选择该标签后,在包字节面板区包的剩余内容就会高亮显示。 现在进入下一步,添加一些协议解析功能。在这一步我们需要构建一组帮助解析的表结构。这需要对"proto_register_rdp"函数做些修改。首先定义一组静态数组。 例5 定义数据结构 static hf_register_info hf[]= { { &hf;_rdp_version, { "TPKT Header:Version", "rdp.version",
Wireshark分析协议数据
10-11
Wireshark是一款强大的网络协议分析工具,用于捕获和显示网络封包的详细信息,它可以帮助网络管理员、开发者以及安全专家深入理解网络通信的过程。在Wireshark,我们可以分析多种协议的数据包,包括IP、UDP、TCP、...
计算机网络实验三 利用wireshark进行协议分析
11-05
本次实验主要聚焦于利用Wireshark这一强大的网络封包分析工具来深入理解网络协议的工作原理。Wireshark是一款开源的网络抓包软件,广泛用于网络故障排查、性能分析以及安全审计。 首先,我们需要了解Wireshark的...
网络安全最全Wireshark抓包分析ICMP协议_wireshark抓ping包分析数据格式(1)
2401_84247760的博客
05-04 952
作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏分析目的:分析ICMP协议的数据格式、文类型及作用。操作系统:Windows 10 企业版抓包工具Wireshark 4.0.8。
wireshark表达式 02
myKernel
11-14 4292
一、IP过滤:包括来源IP或者目标IP等于某个IP   比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP   ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP 二、端口过滤:   比如:tcp.port eq 80 //
wireshark添加列,隐藏列,删除列,移动列
刘贝斯老师的博客
02-28 8040
很多同学在使用wireshark的时候,想把某一个字段作为单独的一列来显示,下面教大家一下怎么做。 通常wireshark默认的配置,是没有ttl这一列,下面我们在加一下 没有修改的之前,如下图 添加列 对着TTL这个这段进行右键,选择到Apply as Column 结果: 隐藏列 取掉图的勾,即可隐藏 删除列 选该列,点击Remove This column 移动列 移动列很简...
WireShark基本操作
qq_43776408的博客
10-14 332
软件第一个栏的info是解读意思 就是给你一些数据包的信息 Destination就是目的地 /////////////////////////// 你可以在第一栏增加一些信息 在第二栏找一个右键,选择作为列就可以了 如果你觉的你的第一栏的列的名字是英文不好 你可以在第一栏的上面右键选择编辑列 你可以修改第一栏的时间格式 直接试图---修改时间格式---选第一个就行了 查看同一个协议两个...
一站式学习Wireshark(八):应用Wireshark过滤条件抓取特定数据
DEBUG的blog
07-22 1249
原文出处: EMC文支持论坛    应用抓包过滤,选择Capture | Options,扩展窗口查看到Capture Filter栏。双击选定的接口,如下图所示,弹出Edit Interface Settints窗口。 下图显示了Edit Interface Settings窗口,这里可以设置抓包过滤条件。如果你确知抓包过滤条件的语法,直接在Capture Filter
Wireshark如何识别SomeIP数据包信号
06-22
Wireshark是一款强大的网络协议分析工具,它可以捕获并分析网络的各种流量,包括SomeIP(Session Initiation Protocol for IoT)数据包。SomeIP是一种专门为物联网设备设计的轻量级通信协议。要识别SomeIP数据包,Wireshark需要一些特定配置和解析规则。 1. **安装和配置Wireshark**:首先确保你已经安装了Wireshark,并且如果你没有,需要添加SomeIP的解码插件。你可以从Wireshark的插件管理器搜索"someip dissector"或类似名称的插件并安装。 2. **启动捕获**:打开Wireshark,开始一个新的网络数据包捕获。通常,你需要选择合适的网络接口或者设置为监听所有接口以获取更全面的数据。 3. **筛选SomeIP数据包**:在Wireshark的过滤器栏输入`someip`,这将帮助你过滤出SomeIP协议的特定数据包。 4. **查看SomeIP字段**:SomeIP数据包会在Wireshark的显示面板上显示出其关键字段,如消息类型、源/目的地址、端口等。这些信息有助于理解协议交互和信号。 5. **解码详细信息**:点击SomeIP数据包,Wireshark会显示详细的协议层信息,包括封装的上层协议(如TCP/UDP)以及可能的上下文,比如请求-响应模式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吃_早餐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值