简单介绍
WireShark是非常流行的网络封包分析工具,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程中各种问题定位。具体的内容可点此处
初步使用
查看抓包界面
过滤器,用于设置过滤条件进行数据包列表过滤
数据包列表,显示捕获到的数据包,每个数据包包含编号,时间截,源地址,目标地址,协议,长度,以及数据包信息。 不同协议的数据包使用了不同的颜色区分显示。
数据包详细区, 在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。
进一步查看TCP部分的内容
源端口来表示发送终端的某个应用程序,目的端口来表示接收终端的某个应用程序。端口号就是来标识终端的应用程序,从而实现应用程序之间的通信。
简单ping一下
ping操作属于icmp协议,所以打开wireshark,在过滤器指定过滤icmp协议的数据,通过进一步了解,icmp就是来配合一个无法感知网络环境的协议来工作的,这个协议就是 IP(包括 IPv4 和 IPv6)。所以,ICMP 通常被认为是 IP 协议的一部分,它封装在 IP 层中,使用 IP 协议进行传输。因此,严格来说,ICMP 既不是一个网络层协议,也不是一个传输层协议,而是介于两者之间的一个协议。
它的主要功能是传输网络诊断信息,信息主要包括两类: 一类是 查询类报文
:主要用于信息的查询和采集,比如采集传输路径上的每个路由器都是谁,本次传输的报文是否达到目的地等等。 另一类是 差错诊断类报文
:主要用于诊断网络故障,比如传输报文被丢弃的原因是什么等等。
我ping了百度,
把目前的得到的信息整合一下就可以得出:type值为8,code值为0,即为回声请求(ping);该frame的响应在第630frame;数据长度为32字节
查看传输层界面
可以得到的信息:版本为ipv4,首部长度为20个字节,标志为0x00,片偏移为0,协议为icmp,首部检验码为0x7cab,源地址为172.24.27.85,目的地址为36.155.132.3
我们还可以用ip.addr == 172.24.27.85 and icmp 表示只显示ICPM协议且源主机IP或者目的主机IP为172.24.27.85的数据包。
过滤栏的使用
参考
我这里使用了数据包过滤,想要过滤找出内容为123的数据包
可以发现没有