学习视频见: https://www.bilibili.com/video/BV1YW411y7nr?from=search&seid=5986298750666530415
本文主要记录一下(我觉得)wireshark比较常用的一些功能:
Mark数据包
单击右键,选择Mark Packet即可
捕获过滤器
选择捕获->选项 就能看到下面有个Capture filter,语法类似 host xx.xxx.xx.xx,这个就是在你抓包的时候就确定你想要抓指定范围的包
显示过滤器
这个就是你已经把所有包都抓到了,但是只想显示某个范围(比如ip.addr == xxx.xx.xx.xx)的包,
流追踪
点击 分析 ->追踪流 -> TCP 或者UDP,或者右击某个包,选择追踪流, 便能够看到这个包对应的整个流程
比如
点进去以后,可以看到这个http的请求和响应
作为过滤器应用
这个主要是可以方便的把选中栏目,比如Destination作为显示过滤条件
流量图
点击 统计 -> 流量图,这个主要是一个可视化的包传递过程,指出了源端口,目的端口,协议信息等等
分组长度
点击 统计-> 分组长度
这个就是包长度的统计,主要关注的栏是Percent,一般大于2560的包是占比很少的,如果比率过大,那么可能是arp攻击
Endpoints
点击 统计 -> Endpoints,这个主要是看,某个地址发出了多少个包
Conversations
点击 统计 -> Conversations,这个主要是看,源地址某个端口和目的地址某个端口通信的包信息
专家信息
点击 分析-> 专家信息,就可以看到包的error,warning等信息