Wireshark 基础使用-启用抓包与过滤

已于 2022-03-06 21:06:11 修改
阅读量7.2k 收藏 16
点赞数 4
分类专栏: 网络分析方法 文章标签: 网络 网络协议 wireshark 物联网
于 2022-03-06 18:28:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyx1234/article/details/123314567
版权
本文介绍了Wireshark的基础使用,包括启用抓包和设置过滤条件。捕获过滤器用于在抓包前设定条件,减少数据包量,而显示过滤器则在捕获后过滤显示内容。Wireshark的过滤表达式遵循libpcap语法,支持与、或、非逻辑操作及协议、方向、类型的修饰。示例展示了如何过滤特定网关和协议的数据包。了解并熟练运用这些技巧,对于网络分析和问题排查至关重要。
摘要由CSDN通过智能技术生成

Wireshark 基础使用-启用抓包与过滤

Wireshark 是一款免费、开源、跨平台、专业的网络抓包(监测)与协议分析软件。

如我在上一篇博客中所述,网络工程师可以使用 wireshark 抓取本机网卡的数据包,并分析抓取的数据包(注意,本机访问本机的回环数据 localhost 是不经过网卡的,需要指定回环数据也要先转发到网关,才能使用 wireshark 抓取)。也可以使用 wireshark 打开其他抓包工具生成的抓包文件,使用 wireshark 分析该抓包文件。

目前,网络上关于该工具如何安装的帖子已经很多了,本篇博客主要介绍 Wireshark 最常用,也是必须掌握的一些技能。包括如何设置捕获过滤条件、显示过滤条件。不管您是否正在做网络分析的工作,只要抓的一手好包,能提供简洁的抓包文件给专业的分析人员,都是很了不起的技能。

wireshark 的工作原理:

在这里插入图片描述

如图,安装了 wireshark 的 PC 可以获取该 PC 上流经以太网网卡、无线网卡、虚拟网卡上的数据,进而分析其与其他 PC 等设备进行通信的具体情况。

wireshark 过滤器使用

Wireshark 设置了两个过滤器:捕获过滤器(capture fileter)、显示过滤器(display filter)。

  • 捕获过滤器,用于在开始捕获前设置过滤条件,设置过滤条件后,抓包工具将仅捕获与条件匹配的数据包;使用捕获过滤器可以减少抓取的网络数据包,减轻抓包软件的负担,最终得到的抓包文件也较小,是提升效率必备技能。

  • 显示过滤器,用于在捕获数据后设置过滤条件,设置过滤条件后,显示页面上将仅显示与条件匹配的数据包;

在这里插入图片描述

捕获过滤器的基本使用

打开 wireshark 软件后,如图所示的输入框就是输入捕获过滤条件 的地方:

在这里插入图片描述

点击上图中绿色的小标签(或者通过菜单:捕获->捕获过滤器)即可打开常用的捕获表达式:

在这里插入图片描述

**注: **捕获表达式中的冒号“:”,通常起解释说明的意思,无实意。

捕获过滤表达式的语法

Wireshark 捕获过滤器表达式遵循 libpcap 语法。过滤器表达式由一个或多个原语组成。原语通常由一个id(名称或数字)和一个或多个修饰符组成(如名字:老王,修饰符:隔壁的,组合起来的"隔壁的老王"就是一个原语)。

1)过滤表达式 = 原语1 + 原语2 + …

2)原语 = id + 修饰符1 + 修饰符2 +…

3)原语之间可以通过逻辑连接符 和括号()进行组合,逻辑连接符包括:

可用符号“&&“ 或者文字 “and“来表示
可用符号“||“ 或者文字 “or“来表示
可用符号“!“ 或者文字 “not“来表示

如下述示例表示仅捕获通过网关“snup”并且是属于 FTP 端口或者数据的数据包:

gateway snup and (port ftp or ftp-data)

4)常见的三种不同的修饰符:

类型(type)该修饰符表示id名称或编号所指的内容。可能的类型有主机、网络、端口和端口范围。例如,‘host foo’、‘net 128.3’、‘port 20’、‘portrange 6000-6008’。如果没有指定类型修饰符,则默认指定的是主机。
方向(directions)该修饰符指定特定传输方向。可能的方向是src、dst、src或dst、src和dst、ra、ta、addr1、addr2、addr3和addr4。例如,‘src foo’、‘dst net 128.3’、‘src或dst port ftp data’。如果没有指定该修饰符,则假定为’src或dst’。ra、ta、addr1、addr2、addr3和addr4限定符仅对IEEE 802.11无线LAN链路层有效。
协议(protocol)该修饰符指定特定的协议。可能的协议有:以太网、fddi、tr、wlan、ip、ip6、arp、rarp、decnet、sctp、tcp和udp。例如,‘ether src foo’,‘arp net 128.3’,‘tcp port 21’,‘udp portrange 7000-7009’,‘wlan addr2 0:2:3:4:5:6’。如果没有指定该修饰符,则默认捕获所有协议的数据包。

除上述内容外,还有一些特殊的“原始”关键字没有遵循这种模式:gateway, broadcast, less, greater算术表达式(常见的算术表达式如:len <= 1023,代表过滤长度小于 1023 的数据包)。

示例,过滤通过网关“snup”且其发送的长度超过513字节的IPv4数据包(ip[2:2]代表 ip 数据包的第二个字节起始的连续两个字节组成的数值):

gateway snup and ip[2:2] > 513

**注意: **更多捕获过滤器的使用可以参考说明 capture filters-wiki 以及 capture_filters_gitlab.

下一篇:显示过滤器的基本使用 .
(码字不易,谢谢点赞或收藏).

物联网老王
关注
专栏目录
wireshark数据包过滤详解(二)-未解码字段过滤
weixin_45617372的博客
09-23 2088
前面一章讲了常规的数据包过滤方法,本篇介绍下未解码字段过滤方法。我们知道tcpdump或者别的抓包手段抓到的数据包的原始数据都是16进制的原始码流,wireshark会根据码流里的每一层的协议标识先识别出协议,再根据协议标准去将16进制原始码流解码成我们可以看懂的ASCII码。
一站式讲解Wireshark网络抓包分析的若干场景、过滤条件及分析方法
最新发布
dvlinker的技术专栏
10-17 2万+
本文详细讲解常用的抓包工具、抓包分析的网络场景、分析抓包时的多种过滤条件以及如何结合常用的协议去分析排查问题,给大家提供一个借鉴或参考。
(八):应用Wireshark过滤条件抓取特定数据流
IT基础架构
01-30 1108
(八):应用Wireshark过滤条件抓取特定数据流 原文出处:支持 | Dell 中国 应用抓包过滤,选择Capture | Options,扩展窗口查看到Capture Filter栏。双击选定的接口,如下图所示,弹出Edit Interface Settints窗口。 下图显示了Edit Interface Settings窗口,这里可以设置抓包过滤条件。如果你确知抓包过滤条件的语法,直接在Capture Filter区域输入。在输入错误时,Wireshark通过红色背景区域表明无法处理过滤
WireShark过滤
ngczx的博客
10-11 923
Wireshark过滤器规则可以分为**捕获过滤器**和**显示过滤器**,这两种过滤器有不同的编写规则
WireShark 过滤语法
笔者从事电信媒体开发多年,愿意将多年的开发经验分享给同行
11-26 842
<br /><br />引用hcorecore 的 WireShark 过滤语法<br /><br />/* WireShark 过滤语法 */<br /><br />1.<br />过滤IP,如来源IP或者目标IP等于某个IP<br />例子:<br />ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107<br />或者<br />ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP<br /><br />2.<br />过滤
Wireshark过滤数据包
weixin_34245169的博客
08-08 1333
介绍 数据包过滤可让你专注于你感兴趣的确定数据集。如你所见,Wireshark 默认会抓取所有数据包。这可能会妨碍你寻找具体的数据。 Wireshark 提供了两个功能强大的过滤工具,让你简单而无痛地获得精确的数据。 Wireshark 可以通过两种方式过滤数据包。它可以通过只收集某些数据包来过滤,或者在抓取数据包后进行过滤。当然,这些可以彼此结合使...
Wireshark通过数据内容过滤数据帧
AntigravityC的博客
05-30 570
通过tcp端口(包括src和dst)和 数据位0的内容过滤,内容是从Transmission Control Protocol 开始算的双位过滤:第10位开始的双字节。
wireshark tcp data中文_wireshark工具的显示过滤器的使用
weixin_39689622的博客
12-12 603
php中文网课程每日17点准时技术干货分享本文为php中文网认证作者:“齐天大圣”投稿。wireshark显示过滤器是用来将已经捕获的数据包进行过滤,只显示符合过滤条件的数据包。显示过滤器通常比捕获过滤器更加的常用,通常在抓包的过程中不加限定条件,任何包都抓取,然后通过显示过滤器来分析特定的数据包。显示过滤器有两种方法,分别是:对话框方式文字表达式方式对话框方式显示器该方法非常的简答,只...
wireshark过滤规则及过滤数据内容是否包含
01-10 3468
Wireshark 基本语法,基本使用方法,及包过滤规则,如果想在linux上进行抓包,可以使用tcpdump 先保存为cap文件,然后将cap下载到本地使用wireshark打开进行分析例子:或者ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP上运行的图形窗口截图示例,其他过虑规则操作类似,不再截图。截图示例:提示: 在Filter编辑框中,收入过虑规则时,如果语法有误,框会显红色,如正确,会是绿色。
使用wireshark蓝牙抓包器教程(含文档与软件安装包).rar
10-15
总结一下,使用Wireshark进行BLE抓包分析主要涉及以下步骤: 1. 安装Wireshark和蓝牙支持库。 2. 设置蓝牙适配器为监听模式。 3. 使用Wireshark启动捕获,应用BLE ATT过滤器。 4. 连接BLE设备并与其交互,观察捕获的...
wireshark-3.0.2.tar.gz
06-27
Wireshark是一款强大的网络...总之,要在CentOS 7上安装和升级Wireshark 3.0.2,需要管理RPM包、解决依赖关系,并理解如何使用Wireshark进行网络封包分析。这个过程不仅涉及技术操作,也包含了安全和隐私保护的意识。
Wireshark学习FTP流程—数据包.
01-25
Wireshark学习FTP流程—数据包.z0 Wireshark学习FTP流程—数据包资源分卷0共计4个分卷
wireshark抓包工具,虚拟机也可正常使用
06-16
Npcap则是Wireshark在Windows系统中使用的底层网络捕获驱动,它提供了与libpcap(在Unix-like系统中的类似功能)相兼容的接口。 在虚拟机环境中,如Windows Server 2007或2008,使用Wireshark可能会遇到一些挑战,...
云计算运维---wireshark 工具使用抓包常见小技巧
海渊_haiyuan的博客
04-21 1203
Wireshark 工具使用常见小技巧 一、抓包 拿到一个网络包时,我们总是希望它尽可能小。因为操作一个大包相当费时,有时甚至会死机。如果让初学者分析1GB以上的包,估计会被打击得信心全无。所以抓包时应该尽量只抓必要的部分。有很多方法可以实现这一点。 1.只抓包头。 一般能抓到的每个包(称为“帧”更准确,但是出于表达习惯,本书可能会经常用“包”代替“帧”和“分段”)的最大长度为1514字节,启用...
网络协议-Wireshark 捕获和显示过滤器规则
qq_38937634的博客
12-16 2362
Wireshark 捕获和显示过滤器 这篇文章介绍一下 Wireshark过滤器,Wireshark 过滤器分为 捕获过滤器 和 显示过滤器,学习它们可以帮助你更好抓取到想要的报文。 1.捕获过滤器(BPF 过滤器) 捕获过滤器是在报文抓取之前的一种过滤,可以指定抓取满足过滤条件的报文内容: 用于减少抓取的报文体积 使用 BPF 语法,功能相对有限 1.1 捕获过滤使用方法 在 Wireshark 面板点击 选项->捕获出现的窗口下方 capture filter for selected
如何使用Wireshark捕获,过滤和检查数据包
cum44153的博客
09-26 3301
Wireshark, a network analysis tool formerly known as Ethereal, captures packets in real time and display them in human-readable format. Wireshark includes filters, color coding, and other features tha...
Wireshark——过滤器设置
qq_45951891的博客
11-04 1万+
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用?可以在抓取数据包前设置如下。
计网实验之wireshark抓包使用(新手教程)
qq_43788184的博客
05-15 5486
Wireshark是一个免费开源的网络数据包分析软件。它的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包数据。 下载安装参考:抓包工具Wireshark的下载及安装 目录一、准备工作二、Wireshakr抓包界面三、使用过滤器四、Wireshark抓包分析TCP三次握手 一、准备工作 1、打开wireshark3.2.23.2.2主界面如下: 2、由于我连接的是家里的WiFi,所以可以选择WLAN,点击即进行捕获。 3、开始捕获 4、停止捕获 二、Wireshakr抓包界面 wiresh
Wireshark抓包ftp过滤ftp无数据
dw将限制条件全部检测通过后才能提交表单
01-26 1504
https://img-blog.csdnimg.cn/55b1237614c2481d8e711915dace8206.png
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

物联网老王

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值