Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题,开发者使用Wireshark来为新的通讯协定除错,普通使用者使用Wireshark来学习网络协定的相关知识。当然,有的人也会“居心叵测”的用它来寻找一些敏感信息……这儿就不多赘述了。
如何安装
-
选择自己电脑相应的位数双击Wireshark-win64-3.2.1.exe进行安装。
-
打开wireshark的安装程序,依次点击Next →IAgree → Next →Next → Next (选择安装位置) → Next → Install。
-
安装完成后会自动重启电脑,即可正常运行。
界面说明
数据分析
选定数据包的分协议层展示中各自对应OSI七层模型。
- 物理层的数据帧概要
- 数据链路层以太网帧的头部信息
- 网络层IP头部包信息
- 传输层数据包头部信息
常见显示过滤表达式
在开始捕获数据包之前输入捕获过滤表达式,然后wireshark只捕获符合条件的数据包,不记录不符合条件的数据包。
数据链路层:
筛选mac地址为00:01:6C:06:A6:29的数据包:eth.src == 00:01:6C:06:A6:29
网络层:
筛选ip地址为192.168.1.1的数据包:
ip.addr == 192.168.1.1
筛选192.168.1.0网段的数据:
ip contains “192.168.1”
筛选10.10.1.1和10.10.1.2之间的数据包:
ip.addr == 10.10.1.1 && ip.addr == 10.10.1.2
筛选从192.168.1.1到192.168.1.2的数据包:
ip.src == 192.168.1.1 && ip.dst == 192.168.1.2
传输层:
筛选tcp协议的数据包:tcp
筛选除tcp协议以外的数据包:!tcp
筛选端口为80的数据包:tcp.port == 80
筛选12345端口和80端口之间的数据包:
tcp.port == 12345 && tcp.port == 80
筛选从12345端口到80端口的数据:
tcp.srcport == 12345 && tcp.dstport == 80
应用层:
筛选url中包含.php的http数据:
http.request.uri contains “.php”
筛选内容包含username的http数据包:
http contains “username”
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
