Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。
主要应用:
网络管理员用来解决网络问题
网络安全工程师用来检测安全隐患
开发人员用来测试协议执行情况
用来学习网络协议
除了上面提到的,Wireshark还可以用在其它许多场合
wireshark有两种过滤器:
捕捉过滤器(CaptureFilters):捕捉过滤器在抓抱前进行设置,决定抓取怎样的数据。
显示过滤器(DisplayFilters):用于在捕捉结果中进行详细查找。
区别:
捕捉过滤器:捕捉过滤器仅支持协议过滤。
显示过滤器:显示过滤器既支持协议过滤也支持内容过滤。
两种过滤器它们支持的过滤语法不一样。
捕捉过滤器
选择capture–>options
协议:ether,fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp ,udp
逻辑操作符:not,and,or
方向:src, dst, src and dst, src or dst
语法 | 协议 | 字符串 | 值 | 逻辑操作符 | 方向 | Host | 主机 | 逻辑操作符 | 其他表达式 |
---|---|---|---|---|---|---|---|---|---|
例子 | udp | port | 5060 | and | src | host | 192.168.0.102 | or | …. |
拓展:
以上仅列举了部分组合,可以将以上语法用逻辑操作符进行随机组合,列举的目的是让读者能够更加灵活的使用语法。
部分表达式如下:
过滤器 | 意义 |
---|---|
ether src host 00:08:15:00:08:15</ |