Wireshark的使用

最新推荐文章于 2024-05-16 08:34:29 发布
最新推荐文章于 2024-05-16 08:34:29 发布
阅读量5k 收藏 20
点赞数 5
分类专栏: 计算机网络 文章标签: wireshark 网络 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57448301/article/details/130300531
版权

wireshark的使用

文章目录

1、界面介绍

1.网卡选择

image-20230209193312407

2.首页

image-20230209193350982

常用按钮从左到右的功能依次是:

  • 列出可用接口。
  • 抓包时需要设置的一些选项。一般会保留最后一次的设置结果。开始新的一次抓包。
  • 暂停抓包。
  • 继续进行本次抓包。
  • 打开抓包文件。可以打开之前抓包保存后的文件。不仅可以打开wireshark软件保存的文件,也可以打开tcpdump使用-w参数保存的文件。
  • 保存文件。把本次抓包或者分析的结果进行保存。
  • 关闭打开的文件。文件被关闭后,就会切换到初始界面。·重载抓包文件。

3.数据包列表,显示捕获到的数据包,每个数据包编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息

image-20230209193506591

4.数据包详细信息,在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。各行信息分别为. Frame:物理层的数据帧概况

  • Frame:物理层的数据帧概况
  • Ethernet ll:数据链路层以太网帧头部信息
  • Internet Protocol Version 4:互联网层IP包头部信息
  • User Datagram Protocol:传输层的数据段头部信息,此处是UDP
  • Hypertext Transfer Protocol:应用层的信息,此处是HTTP协议

image-20230209193603423

5.我们可以在过滤器窗口筛选出http协议的相关数据包,并且查看TCP包的每个字段

image-20230209193618434

2、wireshark过滤器

wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

1.设置数据抓取选项
点击常用按钮中的设置按钮,就会弹出设置选项对话框。在这个对话框中我们可以选中需要监听的接口,设置混杂模式,设置抓取数据包的过滤条件。如下图:

image-20230209193732164

首先,选中需要监听获取数据包的接口。接口列表区列出了所有可以使用的接口。如果接口前面的复选框被选中,说明对这个接口监听捕获数据包。

其次,设置混杂模式。设置混杂模式的作用是将网卡设置到混杂模式。如果不设置混杂模式,你的计算机只能获取数据包发往的目标是你计算机和从你计算机出去的数据包。如果设置了混杂模式,你就可以捕获局域网中所有的数据包。如果窗口中的"Use promiscuous mode on all interfaces"前面的复选框被选中,说明对所有的接口使用混杂模式。如果想单独设置,可以双击接口列表中的接口,会弹出如下的对话框。然后选中或者去掉“Capture packets in promiscuousmode”前面复选框。然后点ok按钮。

image-20230209193756507

2.显示过滤器

显示过滤器应用于捕获文件,用来告诉wireshark只显示那些符合过滤条件的数据包。显示过滤器比捕获过滤器更常用。他可以用来过滤不想看到的数据包,但是不会把数据删除。如果想恢复原状,只要把过滤条件删除即可。

过滤器表达式对话框,是的wireshark的可以很简单的设置过滤表达式。点击“Expression”按钮就可以打开这个对话框。如下图:

image-20230209193814729

对话框分左中右三部分。左边为可以使用的所有协议域(过滤项)。右边为和协议域相关的条件值(过滤值)。中间为协议域与条件值之间的关系(过滤关系)。

一条基本的表达式由过滤项、过滤关系、过滤值三项组成。

比如: http contains baidu.com,http为过滤项,contains为过滤关系, baidu.com为过滤值,表示显示http协议包中包含关键词“baidu.com”的所有数据包

比如: ip.addr == 192.168.1.1,ip.addr是过滤项、==是过滤关系,192.168.1.1是过滤值(整条表达示的意思是找出所有ip协议中源或目标ip、等于、192.168.1.1的数据包)

3.过滤关系

过滤关系就是大于、小于、等于等几种等式关系,我们可以直接看官方表格,注意其中有“English”和“C-like”两个字段,这个意思是说“English”和“C-like”这两种写法在wireshark中是等价的、都是可用的。

image-20230209193847524

4.复合过滤表达式

所谓复合过滤表达式,就是指由多条基本过滤表达式组合而成的表达示。基本过滤表达式的写法还是不变的,复合过滤表达示多出来的东西就只是基本过滤表达示的“连接词”。我们依然直接参照官方表格,同样“English”和“C-like”这两个字段还是说明这两种写法在wireshark中是等价的、都是可用的。

image-20230209193922193

5.执行ping www.baidu.com获取的数据包列表如下

image-20230209193950729

观察上述获取的数据包列表,含有大量的无效数据。这时可以通过设置显示器过滤条件进行提取分析信息。ip.addr == 14.215.177.39 and icmp。并进行过滤

image-20230209194002130

6.常见用显示过滤需求及其对应表达式

  • 数据链路层:
    • 筛选mac地址为04:f9:38:ad:13:26的数据包: eth.addr == 04:f9:38:ad:13:26
    • 筛选源mac地址为04:f9:38:ad:13:26的数据包: eth.src == 04:f9:38:ad:13:26
  • 网络层:
    • 筛选ip地址为192.168.1.1的数据包: ip.addr == 192.168.1.1
    • 筛选192.168.1.0网段的数据: ip contains 192.168.1
    • 筛选192.168.1.1和192.168.1.2之间的数据包: ip.addr == 192.168.1.1 && ip.addr ==192.168.1.2
    • 筛选从192.168.1.1到192.168.1.2的数据包: ip.src == 192.168.1.1 && ip.dst == 192.168.1.2
  • 传输层:
    • 筛选tcp协议的数据包: tcp
    • 筛选除tcp协议以外的数据包:!tcp
    • 筛选端口为80的数据包: tcp.port == 80
    • 筛选12345端口和80端口之间的数据包: tcp.port == 12345 && tcp.port == 80
    • 筛选从12345端口到80端口的数据包: tcp.srcport == 12345 && tcp.dstport == 80
  • 应用层:
    • 特别说明: http中http.request表示请求头中的第一行(如GET indexjsp HTTP/1.1),http.response表示响应头中的第一行(如HTTP/1.1 200 OK),其他头部都用http.header_name形式。
    • 筛选url中包含.php的http数据包: http.request.uri contains .php
    • 筛选内容包含username的http数据包: http contains username
3、使用wireshark分析TCP三次握手

1.设置过滤阿里云服务器的IP地址: ip.addr == 47.104.157.132

image-20230209194451313

2.使用TCP调试助手连接阿里云服务器上的TCP服务端

image-20230209194512285

3.我们发现wireshark捕获到了3条TCP数据

image-20230209194542739

  • 第一次握手数据包:客户端发送一个TCP,标志位为SYN,序列号为0,代表客户端请求建立连接。如下图

image-20230209194600728

  • 第二次握手:服务器发回确认包,标志位为SYN,ACK.将确认序号(AcknowledgementNumber)设置为客户的seq加1以.即O+1=1,如下图

image-20230209194625465

  • 第三次握手:客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1,如下图:

image-20230209194630828

4、使用wireshark分析TCP数据包

1.使用tcp调试助手向阿里云服务器TCP服务端发送hello,并且接收到服务器返回的hello world

image-20230209194709456

2.我们发现wireshark捕获到了四条TCP数据

image-20230209194720957

joker_fan`
关注
  • 5
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Wireshark网络抓包(三)——网络协议
weixin_30245867的博客
02-06 1720
一、ARP协议 ARP(Address Resolution Protocol)地址解析协议,将IP地址解析成MAC地址。 IP地址在OSI模型第三层,MAC地址在OSI第二层,彼此不直接通信; 在通过以太网发生IP数据包时,先封装第三层(32位IP地址)和第二层(48位MAC地址)的报头; 但由于发送数据包时只知道目标IP地址,不知道其Mac地址,且不能跨越第二、三层,所以需要...
wireshark使用详细教程.pdf
03-28
捕获网络数据包:Wireshark使用计算机网卡的混杂模式来监听网络流量,能够捕获经过网络接口的数据包。 详细分析:Wireshark提供了丰富的分析工具,可以对捕获到的数据包进行深入分析,包括协议头部信息的解析、流量...
Wireshark使用教程用户手册 超清晰完整版pdf
04-18
Wireshark网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像使电工用来测量进入电信的电量的电度表一样。(当然比那个更高级) 过去的此类工具要么是过于昂贵,要么是属于某人私有,或者是二者兼顾。 Wireshark 出现以后,这种现状得以改变。Wireshark 可能算得上是今天能使用的最好的开元网络分析软件。 《Wireshark使用教程用户手册》主要讲述的是Wireshark的具体使用Wireshark 可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。
最全Wireshark网络抓包分析_wireshark抓包数据怎么看,想给金三银四找工作的程序员几点建议
最新发布
2401_84978645的博客
05-16 1362
ICMP(Internet Control Message Protocol)网际报文控制协议,用于传输错误报告控制信息,对网络安全有极其重要的意义。例如请求的服务不可用、主机或路由不可达,ICMP协议依靠IP协议来完成任务,是IP协议的一个集成部分。通常不被用户网络程序直接使用,多用于ping和tracert等这样的诊断程序。UDP(User Datagram Protocol)用户数据报协议,提供面向事务的简单不可靠信息传送服务。将网络数据流压缩成数据包的形式。
wireshark抓包分析数据怎么看 wireshark使用教程_wireshark怎么看
qq194582923的博客
04-27 2432
TCP包的具体内容从下图可以看到wireshark捕获到的TCP包中的每个字段。Wireshark过滤器设置初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用wireshark?可以在抓取数据包前设置如下。
wireshark工具详解、数据包抓取分析、使用教程
睡不醒的每天
11-21 1万+
显示该数据包的具体数据内容,最左侧的“0000、0010…"为该行数据在整个数据包中的整体偏移量,所有数据以 16 进制显示。数据包概要信息窗口:描述每个数据包的基本信息。如图,点击某行数据,即可在下方显示该数据包的信息。的信息,可以点击每层信息的左侧的三角形的下拉选项,打开每层信息的详细解析。"为该行数据在整个数据包中的整体偏移量,每层信息的左侧的三角形的下拉选项,打开每层信息的详细解析。原地址(请求本机ip) 和目标地址(响应主机ip)查询。:显示被选中的数据包的解析信息,包含每个数据包的。
wireshark抓包分析数据怎么看 wireshark使用教程_wireshark怎么看(1)
2401_83974370的博客
04-18 1742
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
wireshark数据包内容查找功能详解
qq_40298645的博客
03-22 735
选择Unicode字符集的编码方式,其中【窄】指的UTF-8编码方式,也就是一个字符编码占1-4个字节(所以兼容ASCII编码),【宽】指的UTF-16编码方式,一个字符占2或4个字节。一般来说,对于文本类型传输来说,UTF-8使用的更为普遍。【分组详情】区域查找指的是在下方左侧的数据包具体内容区域查找;【分组字节流】区域查找则是最下方右侧的字节流区域查找。如下图,【分组列表】区域查找指的是在最上方的。选择查找内容的编码类型(UTF-8、UTF-16编码)选择查找目标区域(也就是在哪里去匹配。
初识 wireshark 查看qq数据
zczy_1的博客
06-30 3350
首先,点击有波动的那条线,说明有数据流通;双击之后,就是下面的图;能够大体看出来,页面分为3部分:1、Packet List(数据包列表) ;    2、Packet Details(数据包细节);3、Packet Bytes(数据包字节);在最上面的栏目中 输入OICQ 这是用来把qq数据流分析出来;Src port 为8000 表明源端口是8000;Dst port 为4009 这是目的端口 ...
wireshark抓包新手使用教程
Tracey_YAN的博客
09-18 4340
wireshark抓包新手使用教程 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。 Wireshark 开始抓包示例 先介绍一个使用wireshark工具抓取ping命令操作的示例, 1、打开wireshark 2.6.5,主界面如下: 2、选择菜单栏上抓包-
Wireshark使用技巧
Fly_鹏程万里
04-16 4888
前言Wireshark是一款图形界面的网络嗅探器,支持多种平台,是网络流量分析的利器。它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。最近刚把《Wireshark网络分析就是这么简单》看完,写的很有意思,把一些心得和技巧分享一下,部分内容也也源自个人总结。本文所使用Wireshark是2.4.0版,可以到官网下载:...
WireShark使用教程.pdf
06-27
过滤是Wireshark使用中的核心技巧。过滤器分为两种:显示过滤器和捕获过滤器。显示过滤器在主界面中直接输入,用于筛选已捕获的记录;捕获过滤器在Capture > Capture Filters中设置,用于在捕获阶段减少无关数据包的...
wireshark使用说明
08-13
使用Wireshark时,有两种主要的过滤器类型: - **抓包过滤器**:在捕获数据包之前设置,通过“Capture”菜单下的“Capture Filters”进行配置,可以减少捕获的数据包数量,提高效率。例如,只捕获特定IP的ICMP...
Wireshark使用
01-15
LTE数传问题分析Wireshark使用指导书。Wireshark是一款自由、开源的包分析软件。主要用于网络问题定位、分析,软件和通信协议开发及教育。Wireshark原名Ethereal,2006年5月因为商标问题改名WiresharkWireshark是...
Wireshark中查找数据
bcbobo21cn的专栏
06-07 1万+
捕获完成之后可以查找需要的包; 先看一下查找对话框;可以有四种查找方式,显示过滤器、十六进制值、字符串、正则表达式; 看一下当前Wireshark版本是3.0.0;不同版本可能查找对话框有所区别; 输入过滤表达式,查找ip为112.34.111.26的包;定位到第一个ip为112.34.111.26的包; 查找包含十六进制值的包,输入值ff ff;查找;定位到...
wireshark抓包分析数据怎么看 wireshark使用教程
lyw851230的专栏
12-06 1万+
快速熟悉wireshark
Wireshark——抓包分析
热门推荐
qq_45951891的博客
11-04 1万+
ICMP (Internet Control Message Protocol,网际报文控制协议)是Internet 协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。TCP (Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的、基于P的传输层协议。在这层上工作的不止一个协议,但是最普遍的就是互联网协议(IP)。该协议用来支撑那些需要在计算机之间传输数据网络应用,包括网络视频会议系统在内的众多客户/服务器模式的网络应用。
Wireshark 基础使用-过滤并查看抓包数据
wangyx1234的博客
03-06 1万+
wireshark 显示过滤器的使用使用 wireshark 分析网络的四层通信模型。
wireshark使用
08-30
Wireshark 是一个开源的网络协议分析工具,它可以用于捕获和分析网络流量。以下是一些使用 Wireshark 的基本步骤: 1. 下载和安装:首先,你需要从 Wireshark 官方网站(https://www.wireshark.org/)下载并安装适合你操作系统的版本。 2. 打开 Wireshark:安装完成后,打开 Wireshark 应用程序。 3. 选择网络接口:在 Wireshark 主界面的上方,可以看到一个接口列表。选择你想要捕获流量的网络接口,例如无线网卡或以太网卡。 4. 开始捕获:点击“开始捕获”按钮即可开始捕获流量。你可以选择设置捕获过滤器来过滤特定的流量类型或目标。 5. 分析捕获的数据Wireshark 会以实时模式显示捕获的数据包。你可以通过点击每个数据包来查看其详细信息,包括源和目标地址、协议类型、载荷等。 6. 应用过滤器:Wireshark 提供了强大的过滤功能,可以帮助你仅显示感兴趣的数据包。你可以使用过滤表达式或预设过滤器来筛选数据。 7. 分析协议:Wireshark 可以解析和显示多种协议,包括 TCP、UDP、HTTP、DNS 等。通过查看协议分析,你可以了解网络通信中的具体细节和问题。 8. 导出和保存数据:如果你想保存捕获的数据供以后分析使用,可以将数据导出为 pcap 文件格式。 以上是使用 Wireshark 的基本步骤,你可以根据自己的需求和兴趣进一步探索 Wireshark 的高级功能和特性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

joker_fan`

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值