目录
软件介绍
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的途径取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。
内容参考百度
软件安装
Wireshark · Go Deep. 【官网】 除了安装路径根据自己的需求选择以外其他的默认就好,安装的时候忘了截图了,就不给大家一步一步说了。
软件使用
安装好以后,首页是这样的。
选择一个本地连接,开始分组捕获。
如上图所示没有任何数据包,那么我们需要进行一些操作。
在这里我们ping一下百度试试。
如上图所示成功捕获一些信息,如果不需要捕获信息点击红色按钮停止捕获即可。
使用过滤器,在最上面那个显示栏里面输入自己想要过滤的东西如上图所示,过滤显示源地址或者目标主机是39.159.68.18ICMP协议的数据包如上图所示。
点击红色标注的按钮,即可显示所有退出过滤器。
介绍一下这三个面板,最上面的是捕获到的所有信息,中间是某一个数据包的信息,最下面是十六进制或者ASCII形式的数据包原始信息。
这里用其中一个数据包进行分析,在中间那一栏中,我们发现这个数据包五个数据包层次,最后一行是数据多少。
Frame:该数据包物理层的数据帧概况。
Ethernet II:数据链路层以太网帧头部信息。
Internet Protocol Version 4:网际层 IP 包头部信息。
Transmission Control Protocol:传输层的数据段头部信息。
Hypertext Transfer Protocol:应用层的信息,此处是 HTTP 协议。
这五个结构就代表OSI模型的五层结构。
物理层,数据链路层,网络层,传输层,应用层。
选择一个TCP数据包,上图就是TCP数据包的内容。
过滤规则
wireshark过滤器表达式的规则
1、抓包过滤器语法和实例
抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&& 与、|| 或、!非)
(1)协议过滤
比较简单,直接在抓包过滤框中直接输入协议名即可。
TCP,只显示TCP协议的数据包列表
HTTP,只查看HTTP协议的数据包列表
ICMP,只显示ICMP协议的数据包列表
(2)IP过滤
host 192.168.1.104
src host 192.168.1.104
dst host 192.168.1.104
(3)端口过滤
port 80
src port 80
dst port 80
(4)逻辑运算符&& 与、|| 或、!非
src host 192.168.1.104 && dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包
host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包
!broadcast 不抓取广播数据包
2、显示过滤器语法和实例
(1)比较操作符
比较操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。
(2)协议过滤
比较简单,直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。
tcp,只显示TCP协议的数据包列表
http,只查看HTTP协议的数据包列表
icmp,只显示ICMP协议的数据包列表
参考内容:https://www.cnblogs.com/linyfeng/p/9496126.html
我这个只是基本的了解一下这个软件,上面这个链接讲的比较清楚,大家可以查看这个链接进行深入学习。