mac安装并使用wireshark

mac安装并使用wireshark

1 介绍

我们在日常开发过程中,遇到了棘手的问题时,免不了查看具体网络请求情况,这个时候就需要用到抓包工具。比较著名的抓包工具就属:wireshark、fildder。我这里主要介绍wireshark。

2 安装

以mac安装为例。

  1. 去官网下载对应的mac版本即可。(注意观察自己的芯片是intel的还是Apple的)
    https://www.wireshark.org/download.html
  2. 下载好之后,直接双击.dmg,然后拖动安装即可。
  3. 安装成功后,来到应用程序,双击wireshark图标即可。
  • 如果发现双击之后wireshark报错:
    在这里插入图片描述
    表明wireshark没有对应的网卡权限来抓取网卡对应的流量情况。
    执行如下命令,然后重新打开wireshark即可。
sudo chmod 777 /dev/bpf*

3 使用

3.1 判断网卡

如果我们的电脑有多张网卡,如何判断自己该监控哪张网卡呢?

  • 方法一:ifconfig查看ip所属的网卡名,然后在wireshark上点击监控即可
  • 方法二:将鼠标移到wireshark页面所展示的网卡名,wireshark会自动显示ip地址,然后选择我们要监控ip所在的网卡即可
    在这里插入图片描述

3.2 过滤IP(源或目标)

①ip.src eq 192.168.1.145 or ip.dst eq 192.168.1.145

或者ip.addr eq 192.168.1.145

  • 直接使用 ip.addr == 192.168.1.145也行

在这里插入图片描述

提示: 在Filter编辑框中,收入过虑规则时,如果语法有误,框会显红色,如正确,会是绿色。

②ip.src == 192.168.1.145

3.3 过滤端口

①tcp.port == 80(不管源或目标)

tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80

②tcp.dstport == 80(只显示tcp协议的目标端口为80的)

在这里插入图片描述

③udp.port == 1500
④tcp.port >= 1 and tcp.port <= 80

3.4 过滤协议

例子:
tcp
udp
smb
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
oicq
bootp
等等

①tcp(筛选tcp协议)

在这里插入图片描述

②not arp(排除arp协议)

或者!arp
在这里插入图片描述

3.5 过滤MAC

①eth.dst == A0:00:00:04:C5:84 过滤目标mac
②eth.src == A0:00:00:04:C5:84 过滤来源mac

eth.src eq A0:00:00:04:C5:84 // 过滤来源mac
eth.dst == A0:00:00:04:C5:84
eth.dst == A0-00-00-04-C5-84
eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的
less than 小于 < lt
小于等于 le
等于 eq
大于 gt
大于等于 ge
不等 ne

3.6 包长度过滤

①udp.length == 26(udp本身固定长度8+数据包之后为26的)

这个长度是指udp本身固定长度8加上udp下面那块数据包之和

②tcp.len >= 7 指的是ip数据包(不包括tcp本身)
③ip.len == 94 除了以太网固定长度14,其他都算是ip.len

即:从ip本身到最后

④frame.len == 119 整个数据包长度,从eth开始到最后

3.7 http模式过滤

①http.request.method == “GET”

http.request.method == “POST”
在这里插入图片描述

②http.request.uri == “/img/demo.png”
③http contains “GET”
④http contains “HTTP/1.” (区分大小写)

注意:区分大小写

⑤GET包
http.request.method == “GET” && http contains "Host: "
http.request.method == “GET” && http contains "User-Agent: "
⑥POST包
http.request.method == “POST” && http contains "Host: "

在这里插入图片描述

http.request.method == “POST” and http contains "Host: "也可以

http.request.method == “POST” && http contains "User-Agent: "
⑦响应包
http contains “HTTP/1.1 200 OK” && http contains "Content-Type: "
http contains “HTTP/1.0 200 OK” && http contains "Content-Type: "

3.8 TCP参数过滤

①tcp.flags 显示包含TCP标志的封包
②tcp.flags.syn == 0x02 显示包含TCP SYN标志的封包
③tcp.window_size == 0 && tcp.flags.reset != 1

3.9 包内容过滤

①tcp[20:8]表示从20开始,取8个字符
②通过页面操作

在这里插入图片描述

4 查看详情

双击即可进入详情查看:
在这里插入图片描述

详情中会展示请求体、请求头等,包括请求的响应链接地址

在这里插入图片描述

参考文章:
https://blog.csdn.net/wojiaopanpan/article/details/69944970

Mac上可以使用Wireshark来进行网络分析和封包捕获。Wireshark是一个开源的网络协议分析工具,可以帮助用户分析和监控网络流量。你可以从Wireshark官方网站https://www.wireshark.org/下载安装Wireshark软件。安装完成后,你可以打开Wireshark开始捕获和分析网络封包。WiresharkMac上的使用方式和其他操作系统上类似,提供了强大的功能,可以帮助网络管理员检测网络问题,网络安全工程师检查信息安全相关问题,开发者进行通信协议除错,以及普通用户学习网络协议相关知识。请注意,Wireshark本身不会对网络封包进行修改,只会显示当前流通的封包信息,不会向网络发送封包。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Mac 抓包工具wireshark使用](https://blog.csdn.net/weixin_34037173/article/details/93288449)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [MacOS 使用WireShark抓包USB](https://blog.csdn.net/anjisi/article/details/118651906)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值