文章目錄
- 下載與安裝
- 選擇介面(網卡)
- wireshark抓包界面介紹
- Wireshark過濾器
- 1)捕獲過濾器
- 顯示過濾器
- 過濾器語法
- 1)協議過濾
- 2)IP過濾
- 3)埠過濾
- 4)邏輯運算子&& 與、|| 或、!非
- 一些實體
- 5)Http模式過濾
- 6)資料包內容過濾
- 實體:wireshark分析TCP包
- 其他
- 使用圖表
- 頁面小tips
下載與安裝
如果一切正常,那安裝就很快,去wireshark官網下載一個,
如果安裝程序中出現了問題,不妨看一下我昨晚寫的問題解決教程:問題解決:wireshark之npcap無法安裝、winpcap無法安裝問題解決
因為我是用兩臺電腦的,所以,嗯,
第二臺安裝的時候就是一步到位很快的,
我也是新手上來的,在學的程序中看到很多教程,要么千篇一律,要么羅里吧嗦的千篇一律,我只想會用,不想看什么英語是什么意思,什么按鍵是什么意思,我看得懂英語好嗎?!!
甚至還有什么,七八萬字的教程,我的天哪,搞得這么復雜干嘛?人氣?流量?
選擇介面(網卡)
打開wireshark之后,正常情況下會有好多個介面:
還有的版本,就需要一波操作才能打開這個界面了:
點擊,
或者還有個辦法,就雙擊Traffic那個線,
不同的版本可能表面上不一樣,不要被事物的表面現象所迷惑,我們現在講的是思維,
它可能默認會給你全勾上,沒事兒,不用管它,你只要確認你想監聽的那個介面被選中,高亮,注意,是高亮,不是打勾,勾肯定是勾上了,看上面的圖,藍色高亮,然后開始,
不然你可能會發現什么都抓不出來,
當然,上面這個圖也什么都抓不出來,因為根本沒有網路波動,不難猜那條Traffic下面的橫線代表的是網路波動,就像心電圖一樣,
好,不管它,選好之后打開,
wireshark抓包界面介紹
說明:資料包串列區中不同的協議使用了不同的顏色區分,協議顏色標識定位在選單欄View --> Coloring Rules,反正我是沒那興趣去改來改去的,
Wireshark過濾器
開始之后,會看到一堆有一堆的包開始刷刷刷的,快得很:
那我們怎么找我們想要的呢?過濾嘛,
為避免其他無用的資料包影響分析,可以通過在過濾欄設定過濾條件進行資料包串列過濾,獲取結果如下,
說明:ip.addr == 192.168.76.26 and icmp 表示只顯示ICPM協議且源主機IP或者目的主機IP為192.168.76.26的資料包,
1)捕獲過濾器
捕獲過濾器的選單欄路徑為Capture --> Capture Filters,用于在抓取資料包前設定,
當然,還不了解抓包語法的情況下,這只是先說一聲兒這里有個設定罷了,
顯示過濾器
顯示過濾器是用于在抓取資料包后設定過濾條件進行過濾資料包,通常是在抓取資料包時設定條件相對寬泛,抓取的資料包內容較多時使用顯示過濾器設定條件顧慮以方便分析,
過濾器語法
不同版本可能語法會有點不一樣,但是差別不大,可以自行摸索出來,所以我就放一份兒,
1)協議過濾
比較簡單,直接在抓包過濾框中直接輸入協議名即可,
(注意:協議名稱需要輸入小寫)
TCP,只顯示TCP協議的資料包串列
HTTP,只查看HTTP協議的資料包串列
ICMP,只顯示ICMP協議的資料包串列
以及其他協議,可以在抓包視窗中看到其他協議的協議名,至于想要深入了解這些協議,請移步:《TCP/IP卷一》,書可以自己找,也可以私信我拿,或者下面評論,
2)IP過濾
請帶上 ip.
host 192.168.1.104
src host 192.168.1.104
dst host 192.168.1.104
ip.完之后會有很多選項,上面這些只是常用的,而且具體怎么寫,看軟體的提示,
3)埠過濾
請帶上tcp. 或者 udp.
port 80
src port 80
dst port 80
同樣的,點完會有很多選項出來,請服從軟體提示,
4)邏輯運算子&& 與、|| 或、!非
src host 192.168.1.104 && dst port 80 抓取主機地址為192.168.1.80、目的埠為80的資料包
host 192.168.1.104 || host 192.168.1.102 抓取主機為192.168.1.104或者192.168.1.102的資料包
!broadcast 不抓取廣播資料包
一些實體
tcp,只顯示TCP協議的資料包串列
http,只查看HTTP協議的資料包串列
icmp,只顯示ICMP協議的資料包串列
ip.src ==192.168.104.10 顯示源地址為192.168.104.10的資料包串列
ip.dst==192.168.104.10, 顯示目標地址為192.168.104.10的資料包串列
ip.addr == 192.168.104.10 顯示源IP地址或目標IP地址為192.168.104.10的資料包串列
tcp.port ==80, 顯示源主機或者目的主機埠為80的資料包串列,
tcp.srcport == 80, 只顯示TCP協議的源主機埠為80的資料包串列,
tcp.dstport == 80,只顯示TCP協議的目的主機埠為80的資料包串列,
5)Http模式過濾
http.request.method==“GET”, 只顯示HTTP GET方法的,
注意,這里GET要大寫,
6)資料包內容過濾
比方說:
實體:wireshark分析TCP包
1、啟動wireshark抓包工具
2、瀏覽器訪問一個網站,比方說:www.baidu.com
3、打開終端,ping這個網址,找到它的IP地址
接著,進入抓包工具,過濾出這個網址的包
可以看到啊,這里握手了有分手,分手了又握手,看來是短連接,
至于握手分手細節,想了解的話:詳解TCP三次握手與四次揮手
其他
使用圖表
圖形分析是資料分析中必不可少的一部分,也是wireshark的一大亮點,wireshark有不同的圖形展現功能,以幫助你了解捕獲的資料包,下面我們對經常使用的IO圖,雙向時間圖做下介紹,
IO圖
wireshark的IO圖讓你可以對網路上的吞吐量繪圖,讓你了解網路資料傳輸程序中的峰值和波動情況,通過“Statistics”選單中的“IO Graphs”選項可以打開這個IO圖對話框,如下圖:
引數都可以調的,
頁面小tips
左邊的實線連起來的表示同一次會話發生的各個階段,
HTTP請求選中后,能夠看到對應的請求和回應,
Wireshark會幫我們將多次請求合并,
在選中的專案上右鍵選擇Follow->HTTP Stream可以將這次請求的所有相關的請求列出,幫助我們快速過濾,
and so on.
期待后期再探索吧!!!
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/289287.html
標籤:其他
上一篇:Linux學習手冊大全