wireshark

历史

官网
作者 Gerald Combs
前身 Ethereal
1998年开源发布
sectools安全工具榜稳居榜首

工作原理

同类软件：sniffer、Omnipeek
正常情况下，网卡收到数据帧时，会查看目的mac和本网卡mac是否相同，不同则丢弃，相同则接收帧并提交给上一层处理。对广播帧，网卡接收但不作处理。
启动wireshark后，网卡被置为混杂模式，只要数据帧到达网卡，均交给wireshark处理。

过滤器简介

• 显示过滤器，表达式规则:

协议过滤
ip过滤
端口过滤 示例：tcp.port==80
http模式过滤
逻辑运算符为and/or

• 捕获过滤器

用来过滤捕获的封包，以免捕获太多的记录。设置路径Capture->Capture Filters/捕获->输入->最下方填写过滤器

显示过滤器

• 适用流量不大的情况，个人用户常用

ip.addr == 192.168.0.1 //筛选出含有ip地址192.168.0.1的包
ip.src == 192.168.0.1 //筛选出源地址为192.168.0.1的包
ip.dst == 192.168.0.1 //筛选出目的地址为192.168.0.1的包
frame.len<=128 //只显示长度小于128字节的包
tcp.port == 80 //只显示含有端口80的包
tcp.dstport == 25 //只显示目的tcp端口为25的包
tcp.port>1024 //只显示tcp端口号大于1024的包
http //只显示http协议的包
http or arp //只显示http或ARP协议的包
snmp || dns || icmp //显示采用SNMP或dns或icmp协议的包
not arp //不显示arp协议的包
!tcp //不显示tcp协议的包
!(ip.addr == 192.168.0.1) //排除含有ip为192.168.0.1的包

捕获过滤器

• 抓取时的过滤为了节省性能/老版本选中网卡双击后配置再start开始抓包

语法格式:协议 方向 类型 数据
协议：ether/ip/arp/tcp/udp/http/ftp/默认使用所有支持的协议
方向：src/dst/默认使用src or dst 例：host 10.2.2.2例：src or dst host 10.2.2.2
类型：net/port/host/默认使用 host例：src 10.1.1.1 例：src host 10.1.1.1

• 逻辑运算符

与 &&
或 ||
非 ！
例：src 192.168.0.10 && port 80 即抓源地址指定源端口或目的端口80的数据包

例：根据主机名和地址过滤
host 192.169.0.10 //只抓取ip为192.169.0.10的数据包
ether host 00-50-56-C0-00-01 //指定MAC地址过滤
src host 192.168.0.10 //从192.169.0.10发出的包
dst host 192.169.0.10 //发往192.169.0.10的包
ether src host 00-50-56-C0-00-01 //从00-50-56-C0-00-01发出的包
ether dst host 00-50-56-C0-00-01 //发往00-50-56-C0-00-01的包

例：根据端口和协议过滤
port 8080 //只抓端口8080
!port 8080 //抓端口8080以外的流量
dst port 8080 //只抓前往端口8080的流量
icmp //只抓icmp流量
！broadcast //不抓广播包

封包详细信息

Frame:
物理层信息|wireshark添加，捕获时间+编号+帧长度+帧所含协议
Ethernet II:
数据链路层信息|目的MAC地址+源MAC地址+上层协议类型+数据字段+校验
Internet Protocol Version 4:
网络层信息|版本、头部长度、总长度、标志位、源/目的ip地址、上层协议等
Transmission Control Protocol:
传输层信息|源/目的端口、序列号、期望的下个序列号、确认号、头部长度、标志位、窗口长度、校验和等
Data:
应用层信息|内容由应用层协议决定、此处为ftp协议显示响应内容