实验一 Wireshark的使用说明

实验一 Wireshark的使用说明

wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。
1、开始界面
wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。 
Wireshark窗口介绍

2、过滤器
使用过滤是非常重要的，初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。
过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。 
过滤器有两种，
一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录
一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。在Capture -> Capture Filters 中设置保存过滤
保存过滤 
在Filter栏上，填好Filter的表达式后，点击Save按钮，取个名字。比如"Filter 102", 

Protocol（协议）:
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果没有特别指明是什么协议，则默认使用所有支持的协议。
Direction（方向）:
可能的值: src, dst, src and dst, src or dst
如果没有特别指明来源或目的地，则默认使用 “src or dst” 作为关键字。
例如，”host 10.2.2.2″与”src or dst host 10.2.2.2″是一样的
Host(s):
可能的值： net, port, host, portrange.
如果没有指定此值，则默认使用”host”关键字。
例如，”src 10.1.1.1″与”src host 10.1.1.1″相同。
Logical Operations（逻辑运算）:
可能的值：not, and, or.
否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至右进行。
例如，
“not tcp port 3128 and tcp port 23″与”(not tcp port 3128) and tcp port 23″相同。
“not tcp port 3128 and tcp port 23″与”not (tcp port 3128 and tcp port 23)”不同。
练习：
捕捉目的TCP端口为3128的封包。（ tcp dst port 3128 ）
捕捉来源IP地址为10.1.1.1的封包。（ ip src host 10.1.1.1 ）
捕捉目的或来源IP地址为10.1.2.3的封包。（ip host 10.1.2.3 ）
捕捉目的或来源MAC地址为e0-05-c5-44-b1-3c的封包。如果你想抓本机与所有外网通讯的数据包时，可以将这里的mac地址换成路由的mac地址即可。（ether host e0-05-c5-44-b1-3c ）
捕捉来源为UDP或TCP，并且端口号在2000至2500范围内的封包。
（ (udp and tcp)src portrange 2000-2500 ）
捕捉源地址为192.168.0.0网络内的所有封包。（src net 192.168.0.0 mask 255.255.255.0 ）

过滤表达式
1.协议规则
比如TCP，只显示TCP协议。
2.IP过滤
比如IP.src192.168.1.102 显示源地址为192.168.1.102
Ip.dst192.168.1.102，目标地址为192.168.1.102
3.端口过滤
Tcp.port80，端口为80的
Tcp.srctop80，只显示TCP协议的源端口为80的。
4.逻辑运算符 AND/OR
常用的过滤表达式

练习：
显示来源或目的TCP端口号为25的封包。 （ tcp.port25 ）
显示目的TCP端口号为25的封包。 （tcp.dstport25 ）
显示除了icmp以外的所有封包。（ not icmp ）
显示来源IP地址为10.7.2.12，但目的地不是10.200.0.0/16的封包。（ip src host 10.7.2.12 and not dst net 10.200.0.0/16 ）