出自公众号:释然IT杂谈
Wireshark是什么?
Wireshark是最流行的网络嗅探器之一,能在多种平台上抓取和分析网络包,比如Windows、Linux和Mac等。它的图形界面非常友好,但如果你觉得鼠标操作不够有范,也可以使用它的命令行形式——TShark。
学习Wireshark有何意义?
很显然,Wireshark并不能帮我们变成网络新贵,但它对技术上有所追求的攻城狮来说,有着金钱难以衡量的价值。用它来辅助学习,可以更深入地理解网络协议;用它来排查故障,可以更快地发现问题。假如你是团队中唯一掌握Wireshark的网络攻城狮,这个看家本领非常有助于你保持大牛地位。在同事们手足无措时,你可以用最快的速度摆平,然后平静地说一句:“问题解决了,我先去泡杯咖啡。”接下来就可以离开座位,让他们一脸崇拜地研究你满是Tshak命令的屏幕了。
Wireshark图形窗口介绍
![27c666b9e4674b447c03488ba200ca36.png](https://i-blog.csdnimg.cn/blog_migrate/63baaaa6157db8995ea36f8236bf7489.jpeg)
WireShark 主要分为这几个界面:
1. Display Filter(显示过滤器), 用于过滤
2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。颜色不同,代表
3. Packet Details Pane(封包详细信息), 显示封包中的字段
4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏,杂项)
![fd5ea672c7b2da63625aeee11c50ef64.png](https://i-blog.csdnimg.cn/blog_migrate/14c9356099ca03a21da3a7d79db14686.jpeg)
显示过滤器
显示过滤器是在原来或者现在抓包的基础上,过滤掉其他的包,找到自己需要的数据报包。如图所示:
![16219d77767f614d692ff6279b393e3c.png](https://i-blog.csdnimg.cn/blog_migrate/b7382a70e64c5a823f74c45d2b29d533.jpeg)
![84a493f8d413c9204aab653df0bd125c.png](https://i-blog.csdnimg.cn/blog_migrate/be8368f726ad640f02211d9f20d5784e.jpeg)
![c48409bdc8ec32c2d30a835e9a13b929.png](https://i-blog.csdnimg.cn/blog_migrate/94d9c07633eb9e8c486d9a5cda42b03f.jpeg)
![e7c106ac1207bda9d692e89f6169982a.png](https://i-blog.csdnimg.cn/blog_migrate/2abf10cbb933b953bfb83b3546e460e7.jpeg)
过滤表达式的规则
表达式规则
- 协议过滤 比如TCP,只显示TCP协议。
- IP 过滤 比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102, ip.dst==192.168.1.102, 目标地址为192.168.1.102
- 端口过滤 tcp.port ==80, 端口为80的 tcp.srcport == 80, 只显示TCP协议的愿端口为80的。
- Http模式过滤 http.request.method=="GET