前言
Wireshark是学习计算机网络中一个非常重要的抓包工具,该抓包工具可以指定网络卡接口,根据特定的网络协议,把该网络协议的运行流程和数据格式准确的表现出来,是我们了解计算机网络协议深层原理的一个必不可少的东西。
问题
但是最近在使用Wireshark抓取http协议数据包的时候,打开的时候发现并没有捕捉到可用的网卡,上网搜索了一下,发现原来是没有以管理员身份启动的缘故。
用法
1.过滤报文
wireshark的过滤器和过滤滚则能够帮助我们迅速定位到要分析的报文。
1.过滤ip
IP源地址:ip.src ==192.168.1.1
IP目的地址:ip.dst== 192.168.1.1
IP地址(包括源和目的):ip.addr== 192.168.1.1
2.过滤端口:
TCP端口:tcp.port==80
TCP目的端口:tcp.dstport == 80
TCP源端口:tcp.srcport == 80
UDP端口:udp.port eq 15000
TCP 1-80之间的端口:tcp.port >= 1 and tcp.port <= 80
过滤协议:
http、tcp、udp、arp、icmp、http、smtp、ftp、dns 等。
过滤MAC地址:
源MAC地址:eth.src==A0:00:00:04:C5:84
目的MAC地址:eth.dst==A0:00:00:04:C5:84
MAC地址(包括源和目的):eth.addr==A0:00:00:04:C5:84
过滤包长度:
整个UDP数据包:udp.length==20
TCP数据包中的IP数据包:tcp.len>=20
HTTP模式过滤:
请求方法为GET:http.request.method==“GET”
请求方法为POST:http.request.method==“POST”
指定URI:http.request.uri==“/img/1.gif”
请求或相应中包含特定内容:http contains “FLAG”
过滤数据
TCP协议:tcp contains 数据
HTTP协议:http contains “FLAG”
也可以使用ctrl+f搜索
1,选择搜索 “字符串”;
2,选择搜索 “分组详情”;
3,填写搜索数据
例题
1.实验室捉到一只苍蝇
拿到数据包,发现是http包
发现一个fly.rar