Wireshark简介:
Wireshark是一款最流行和强大的开源数据包抓包与分析工具,没有之一。在SecTools安全社区里颇受欢迎,曾一度超越Metasploit、Nessus、Aircrack-ng等强悍工具。该软件在网络安全与取证分析中起到了很大作用,作为一款网络数据嗅探与协议分析器,已经成为网络运行管理、网络故障诊断、网络应用开发与调试的必用工具。
上面是wireshark的主窗口,分三大主块:Packlist List(数据包列表)、Packet Details(数据包细节)、Packet Bytes(数据包字节)。
首选项设置
在wireshark的首选项里有很多设置,以方便定制,可在菜单栏的Edit里的Preferences里设置,其界面如下:
包括这几个部分:User Intereface(用户接口)、Capture(捕获)、Name Resolutions(名字解析)、Statistics(统计)、Protocols(协议)
查找数据包:
按ctrl+N打开查找对话框
可以看到有三种查询条件:
Display filter 通过表达式进行筛选,其功能强大,后面有具体介绍,如ip.addr==192.168.1.23
Hex value 通过十六进制对数据包进行筛选,如00:ff
String 通过字符串进行查找,如passwd
按ctr