wireshark抓包分析

最新推荐文章于 2024-04-17 13:27:24 发布
最新推荐文章于 2024-04-17 13:27:24 发布
阅读量5.8k 收藏 84
点赞数 7
分类专栏: 通讯 文章标签: wireshark tcpdump 抓包 网络嗅探抓包 网络抓包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xmtblog/article/details/46473905
版权

wireshark抓包分析

wireshark是非常流行的网络封包分析软件,功能十分强大。可以抓取各种网络包,并显示网络包的详细信息。

开始界面


wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。

点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包


Wireshark 窗口介绍


WireShark 主要分为这几个界面

1. Display Filter(显示过滤器),  用于过滤

2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表

3. Packet Details Pane(封包详细信息), 显示封包中的字段

4. Dissector Pane(16进制数据)

5. Miscellanous(地址栏,杂项)

 

使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种,

一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录

一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。 在Capture -> Capture Filters 中设置

保存过滤

在Filter栏上,填好Filter的表达式后,点击Save按钮, 取个名字。比如"Filter 102",

 

Filter栏上就多了个"Filter 102" 的按钮。

 

过滤表达式的规则

表达式规则

 1. 协议过滤

比如TCP,只显示TCP协议。

2. IP 过滤

比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,

ip.dst==192.168.1.102, 目标地址为192.168.1.102

3. 端口过滤

tcp.port ==80,  端口为80的

tcp.srcport == 80,  只显示TCP协议的愿端口为80的。

4. Http模式过滤

http.request.method=="GET",   只显示HTTP GET方法的。

5. 逻辑运算符为 AND/ OR

常用的过滤表达式

过滤表达式

用途

http

只查看HTTP协议的记录

ip.src ==192.168.1.102 or ip.dst==192.168.1.102

 源地址或者目标地址是192.168.1.102

 

 

 

 

封包列表(Packet List Pane)

封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。 你可以看到不同的协议用了不同的颜色显示。

你也可以修改这些显示颜色的规则,  View ->Coloring Rules.

 

封包详细信息 (Packet Details Pane)

这个面板是我们最重要的,用来查看协议中的每一个字段。

各行信息分别为

Frame:   物理层的数据帧概况

Ethernet II: 数据链路层以太网帧头部信息

Internet Protocol Version 4: 互联网层IP包头部信息

Transmission Control Protocol:  传输层T的数据段头部信息,此处是TCP

Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议

 

ARP包


IP包

 

UDP包

 

TCP包

 

HTTP包


linux抓包工具tcpdump

tcpdump的选项 

· -a —— 将网络地址和广播地址转变成名字 

· -d —— 将匹配信息包的代码以人们能够理解的汇编格式给出 

· -dd —— 将匹配信息包的代码以c语言程序段的格式给出 

· -ddd —— 将匹配信息包的代码以十进制的形式给出 

· -e —— 在输出行打印出数据链路层的头部信息 

· -f —— 将外部的Internet地址以数字的形式打印出来 

· -l —— 使标准输出变为缓冲行形式 

· -n —— 不把网络地址转换成名字 

· -t —— 在输出的每一行不打印时间戳 

· -v —— 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息 

· -vv —— 输出详细的报文信息 

· -c —— 在收到指定的包的数目后,tcpdump就会停止 

· -F —— 从指定的文件中读取表达式,忽略其它的表达式 

· -i —— 指定监听的网络接口 

· -r —— 从指定的文件中读取包(这些包一般通过-w选项产生

· -w —— 直接将包写入文件中,并不分析和打印出来 

-T —— 将监听到的包直接解释为指定的类型的报文

示例

在eth2网口抓包,并把结果保存在test.cap文件中,然后直接用wireshark打开该文件就可以看见包内容。

 

欢迎大家关注我的博客!如有疑问,请加QQ群:135430763共同学习!

业余草
关注
  • 7
    点赞
  • 84
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
Wireshark 数据包分析
weixin_43708659的博客
06-20 2317
Wireshark 数据包分析
wireshark抓包,丢包分析
qq_53058639的博客
09-12 2021
我们都知道,一般流量分析设备都支持pcap回放离线分析的功能,但如果抓的pcap丢了包,会影响最终安全测试的效果。比如说竞测现场需要提供pcap包测试恶意文件的检测功能,如果pcap中丢包,可能会导致文件还原失败,最终恶意文件检测功能“实效”。那问题来了,我们怎么识别pcap包是否有丢包呢?接下来,我们通过wireshark来查找pcap文件中的丢包线索。
Wireshark抓包分析TCP连接、发送数据与断开过程
lgc1990的博客
03-12 7817
准备工具: 1. 两台连接到同个局域网的电脑,或者虚拟机; 2. 在其中一台电脑安装Wireshark; 3. 在两台电脑上面都有TCP&UDP测试工具软件 TCP连接建立过程(三次握手): 抓包分析TCP连接过程: 1.两台主机都分别打开TCP&UDP测试工具 这里设置主机A的IP地址为10.1.13.2, 主机B为10.1.13.3。 主机A作为客户...
Wireshark抓取网卡协议分析(TCP,UDP,ARP,DNS,DHCP,HTTP超详细版本)
CodeGou的博客
07-21 1万+
Wireshark抓取网卡协议分析(TCP,UDP,ARP,DNS,DHCP,HTTP超详细版本)
Wireshark抓包分析,看这篇就够了!
伤心的辣条
08-18 9389
WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在网络封包和流量分析领域有着十分强大功能的工具,深受各类网络工程师和网络分析师的喜爱。
WireShark抓包分析
热门推荐
hebbely的博客
01-14 19万+
简述:本文介绍了抓包数据含义,有TCP报文、Http报文、DNS报文。如有错误,欢迎指正。 1、TCP报文 TCP:(TCP是面向连接的通信协议,通过三次握手建立连接,通讯完成时要拆除连接,由于TCP 是面向连接的所以只能用于点对点的通讯)源IP地址:发送包的IP地址;目的IP地址:接收包的IP地址;源端口:源系统上的连接的端口;目的端口:目的系统上的连接的端口。 T
Wireshark网络抓包(三)——网络协议
weixin_30245867的博客
02-06 1582
一、ARP协议 ARP(Address Resolution Protocol)地址解析协议,将IP地址解析成MAC地址。 IP地址在OSI模型第三层,MAC地址在OSI第二层,彼此不直接通信; 在通过以太网发生IP数据包时,先封装第三层(32位IP地址)和第二层(48位MAC地址)的报头; 但由于发送数据包时只知道目标IP地址,不知道其Mac地址,且不能跨越第二、三层,所以需要...
Wireshark-----抓包分析
HakuMaster的博客
07-13 1万+
它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。ICMP (Internet Control Message Protocol,网际报文控制协议)是Internet 协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。在这层上工作的不止一个协议,但是最普遍的就是互联网协议(IP)。点击 捕获-->选项,取消勾选“在所有接口上使用混杂模式”,选择自己需要的网卡,例如WLAN,点击确定即可;
Wireshark——抓包分析
qq_45951891的博客
11-04 8729
ICMP (Internet Control Message Protocol,网际报文控制协议)是Internet 协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。TCP (Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的、基于P的传输层协议。在这层上工作的不止一个协议,但是最普遍的就是互联网协议(IP)。该协议用来支撑那些需要在计算机之间传输数据的网络应用,包括网络视频会议系统在内的众多客户/服务器模式的网络应用。
RTSP wireshark抓包分析
03-09
RTSP wireshark抓包分析
MDNS协议wireshark抓包分析
07-09
arduino的MDNS库,开发测试时的wireshark抓包分析,已过滤其他杂包
wireshark抓包分析工具
08-01
wireshark抓包分析工具
Wireshark抓包分析微信功能----tcp/ip选修课期末大作业
01-07
tcp/ip选修课期末大作业,资源内有为分析相关微信功能所抓取的数据包和完整大作业报告(word版),适合Wireshark入门的小伙伴们或者赶期末大作业无从下手的uu们。铁汁们,放心食用
为什么我们需要HTML5 WebSocket
xmt1139057136的专栏
03-16 6138
HTML5 WebSocket简介    HTML5作为下一代的 Web 标准,它拥有许多引人注目的新特性,如 Canvas、本地存储、多媒体编程接口、WebSocket等等。这其中有“Web 的 TCP ”之称的WebSocket格外吸引开发人员的注意。WebSocket的出现使得浏览器提供对Socket的支持成为可能,从而在浏览器和服务器之间提供了一个基于TCP连接的双向通道。Web开发人员可
Socket套接字通信原理
xmt1139057136的专栏
06-12 4057
Socket套接字通信原理Tcp/IP协议关系图  Socket在哪里? 原来Socket在这里Socket是什么呢?       Socket是应用层与TCP/IP协议族通信的中间软件抽象层,它是一组接口.在设计模式中,Socket其实就是一个门面模式,它把复杂的TCP/IP协议族隐藏在Socket接口后面,对用户来说,一组简单的接口就是全部,让Socket去组织数据,以符合指定的协议.TCP协
陇剑杯 省赛 攻击者1 CTF wireshark 流量分析
最新发布
m0_63416413的博客
04-17 1385
陇剑杯 省赛 攻击者1 CTF wireshark 流量分析

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

业余草

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值