wireshark网络分析工具使用笔记

Wireshark网络分析工具使用时主要有部分，一是抓包前的设置，二是抓包后的分析

抓包前需要设置抓包过滤器捕获网络上的数据包，抓包后需要设置显示过滤器查找需要的数据包

设置捕捉过滤器

-          选择Capture -> Options

-          填写”Capture Filter”栏

设置捕捉过滤器

点击”capture filter”按钮为过滤器取名字并保存，以便今后的捕捉中继续使用这个过滤器。

-          选择Capture -> Start或者Ctrl+E开始捕捉。

-          选择Capture -> Stop或者Ctrl+E结束捕捉

语法例子：

Protocol         Direction        Host        Value       Logical Operation   Other expression

tcp               dst       10.1.1.1      80             and            tcp dst 10.2.2.2 3128

 

Protocol：

可能的值： ether, fddi, ip, rarp, decnet, lat, sca, moprc, mopdl, tcp, udp

如果没有特别指明是什么协议，默认使用所有支持的协议

 

Direction：

可能的值：src, dst, src and dst, src or dst

如果没有特别指明来源或者目的地，默认使用”src or dst”作为关键字。

例如，”host 10.2.2.2”与”src or dst host 10.2.2.2”是一样的。

 

Host：

可能的值：net, port, host, portrange

如果没有指定次值，默认使用”host”关键字。

例如，”src 10.1.1.1”与”src host 10.1.1.1”相同。

 

Logical Operation:

可能的值：not, and, or

否(not)具有最高优先级。或(or)和与(and)具有相同的优先级，运算时从左至右进行。

例如，

”not tcp port 3128 and tcp port 23”与”(not tcp port 3128) and tcp port 23”相同。

“not tcp port 3218 and tcp port 23”与”not (tcp port 3218 and tcp port 23)”不同。

 

例子：

tcp dst port 3218

显示目的TCP端口为3218的封包。

 

ip src host 10.1.1.1

显示来源IP地址为10.1.1.1的封包。

 

Host 10.1.2.3

显示目的或来源IP地址为10.1.2.3的封包。

 

src portrange 2000-2500

显示来源为UDP或TCP，并且端口号在2000-2500范围内的封包。

 

not icmp

显示除了icmp以外的所有封包。(icmp通常被ping工具使用)

 

src host 10.7.2.12 and not dst net 10.200.0.0/16

显示来源IP地址为10.7.2.12，但目的地址不是10.200.0.0/16的封包。

 

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portange 200-10000 and dst net 10.0.0.0/8

显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16，目的TCP端口号在200-10000之间，

并且目的位于网络10.0.0.0/8内的所有封包。

 

注意事项：

当使用关键字作为值时，需要使用反斜杠”\”。

“ether proro \ip” (与关键字”ip”相同)

这样写将会以IP协议作为目标。

 

“ip proto \icmp” (与关键字”icmp”相同)

这样写将会以ping工具常用的icmp作为目标。

 

可以再”ip”或”ether”后面使用”multicast”及”broadcast”关键字。

当想拍出广播请求时，”no broadcast”就非常有用。

 

显示过滤器：

通常经过捕捉过滤器过滤后的数据还是很复杂。此时可以使用显示过滤器进行更加细致的查找，

它的功能比捕捉过滤器更强大，而且在你想修改过滤器条件时，不需要重新捕捉一次。

语法例子：

Protocol  String1  String2  ComparisonOperator  Value  LogicalOperation  Other expression

  ftp       passive   ip           ==         10.2.3.4      xor                  icmp.type

 

Protocol：

可以使用大量位于OSI模型第2至7层的协议。点击”Expression…”按钮后，可以看到他们。

比如：IP， TCP， DNS， SSH同样可以再如下位置找到所支持的协议：

String1，String2(可选项)：

协议的子类。

点击相关父类旁的”+”号，然后选择其子类。

Coparison operator(比较运算符)：

可以使用6中比较运算符：

Logical expression(逻辑运算符)：

被程序员们数值的逻辑异或是一种排除性的或。当其被用在过滤器的两个条件之间时，只有当且仅当其中一个条件满足时，这样的结果才会被显示出来。

例如：

“tcp.dstport 80 xor tcp.srcport 1025”

只有当目的TCP端口为80或者来源端口1025(但又不能同时满足这两点时)，这样的封包才会被显示。

 

例子：

snmp || dns || icmp

显示SNMP或DNS或ICMP封包。

 

ip.addr == 10.1.1.1

显示来源或目的IP地址为10.1.1.1的封包。

 

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

显示来源不为10.1.2.3或者目的不为10.1.1.1的封包。

 

ip.src != 10.1.2.3 and ip.dst != 10.4.5.6

显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。

 

tcp.port == 25

显示来源或目的TCP端口号为25的封包。

 

tcp.satport == 25

显示目的TCP端口号为25的封包。

 

tcp.flags显示包含TCP标志的封包。

tcp.falgs.syn == 0x02

显示包含TCP SYN标志的封包。

 

如果过滤器的语法是正确的，表达式的背景呈绿色。如果呈红色，说明表达式有误。

 

DM648网络速度测试抓包过滤器设置：

host 192.168.8.30 or 192.168.8.36