menu
  • 首页 首页 icon
  • 工具库 工具库 icon
    • IP查询 IP查询 icon
  • 内容库 内容库 icon
    • 快讯库 快讯库 icon
    • 精品库 精品库 icon
    • 问答库 问答库 icon
  • 更多 更多 icon
    • 服务条款 服务条款 icon

Wireshark基本使用方法

武飞扬头像
@Camelus
帮助5

目录

1、Wireshark介绍

1.1 Wireshark使用

1.2 支持的协议

2.Wireshark主要应用

3.Wireshark安装

 4.Wireshark页面介绍

4.1 分组列表

 4.2 分组详情

 4.3 分组字节流

 5.Wireshark导航

5.1 开始捕获分组

5.2 停止捕获分组

5.3 重新开始当前捕获

5.4、捕获选项

5.5 打开以保存的捕获文件

5.6 保存捕获文件

5.7 关闭捕获文件

5.8 重新加载捕获文件

5.9 查找一个分组

5.9.1 Step1

5.9.2 Step2

5.9.3 Step3

5.9.4 Step4

5.10、转到前一分组

5.11、转到下一分组

5.12、转到特定分组

5.13、转到首个分组

5.14、转到最新分组

5.15、在实时捕获分组时,自动滚动屏幕到最新分组

5.16、使用您的着色规则来绘制分组

5.17、放大住窗口文本

5.18、收缩住窗口文本

5.19、窗口文本返回正常大小

5.20、调整分组列表已适应内容

6.Wireshark菜单栏

6.1【文件】菜单栏

6.2 【编辑】菜单栏

6.3 【视图】菜单栏

 6.4 【跳转】菜单栏

 6.5 【捕获】菜单栏

6.6 【分析】菜单栏

 6.7 【统计】菜单栏

7.Wireshark过滤方式

 7.1 过滤IP

7.2 过滤端口

7.3 过滤协议 

7.4 过滤MAC

7.5 包长度过滤

7.6 http模式过滤

1、Wireshark介绍

Wireshark(前称Ethereal)是一个 网络封包分析软件 。网络封包分析软件的功能是结取网络封包,并尽可能 显示出最为详细的网络封包资料。

1.1 Wireshark使用

WinPCAP作为接口,直接与网卡进行数据报文交换。

1.2 支持的协议

 Wireshark 在支持协议的数量方面出类拔萃,截至目前已提供了超过850种协议的支持。 这
些协议包括从最基础的IP协议协议和DHCP协议到高级的专用协议比如 ApleTalk 和BitTorrent等。由于Wirshank 在开源模式下进行开发,每次更新都会增加
些对新协议的支持

2.Wireshark主要应用

1、实时抓取数据包并进行分析(抓包模块)
2、对已获取的数据包进行流量分析

3.Wireshark安装

下载地址:https://www.wireshark.org/

学新通

 4.Wireshark页面介绍

学新通

选择网口后进入主页面,可以看到流量包,在主页面可以看到 3 部分的流量数据,分别为【分组列表】【分组详情】【分组字节流】

学新通

4.1 分组列表

将流量以分组的形式,简单的呈现出来

学新通

 4.2 分组详情

将流量以TCP/IP 5层模式形式展现出来

学新通

 4.3 分组字节流

将流量以字节流形式展现也就是16进制

学新通

 5.Wireshark导航

学新通

5.1 开始捕获分组

5.2 停止捕获分组

5.3 重新开始当前捕获

5.4、捕获选项

学新通

 重新选择捕获的网络

5.5 打开以保存的捕获文件

学新通

 打开以保存的捕获文件,然后分析数据流量。

5.6 保存捕获文件

5.7 关闭捕获文件

5.8 重新加载捕获文件

当我们分析数据的时候,数据包的顺序可能发生改变,点击此按钮可以重新排序。

5.9 查找一个分组

5.9.1 Step1

学新通

 先选择需要分析的部分,上文已有介绍。

5.9.2 Step2

学新通

 一般选择宽窄,默认

5.9.3 Step3

学新通

 就实际情况而定

5.9.4 Step4

学新通

 选择需要收取的内容,注意:要把鼠标点到1处开始find

学新通

5.10、转到前一分组

5.11、转到下一分组

5.12、转到特定分组

5.13、转到首个分组

5.14、转到最新分组

5.15、在实时捕获分组时,自动滚动屏幕到最新分组

准确来说,同步现在捕获的数据。

5.16、使用您的着色规则来绘制分组

可以选择加颜色和不加颜色

5.17、放大住窗口文本

5.18、收缩住窗口文本

5.19、窗口文本返回正常大小

5.20、调整分组列表已适应内容

6.Wireshark菜单栏

6.1【文件】菜单栏

文件菜单里面包含了【打开】【打开最近】【合并】【 16 进制导入】【关闭】【保存】【另存为】【文件集合】【导出特定分组】【导出分组解析结果】【导出分组字节流】【导出PDU 到文件】【导出TLS 会话密钥】【导出到对象】【打印】【退出】

6.2 【编辑】菜单栏

包含了【复制】【查找分组】 【查找下一个】 【查找上一个】【标记分组】【分组注释】【配置文件】【首选项】

学新通

6.3 【视图】菜单栏

视图菜单,是包含视图的相关配置,比如全屏,显示,时间,着色功能

学新通

 6.4 【跳转】菜单栏

跳转菜单栏主要包括的对分组的跳转,实际就和我们的鼠标滚轮一样

学新通

 6.5 【捕获】菜单栏

捕获菜单栏主要可以选择对网口的捕获

学新通

6.6 【分析】菜单栏

这里的功能主要是分析功能,作用比较大

学新通

 后续实战中会具体介绍

学新通

 6.7 【统计】菜单栏

统计菜单栏也是经常用的 【协议分级】和【会话】 使用最多

学新通

把五层模型具体内容展现出来

学新通

7.Wireshark过滤方式

 7.1 过滤IP

  • 用法:协议名字 字段名 判断 值

eg:

如来源 IP 或者目标 IP 等于某个 IP ip.src eq 10.2.6.10 or ip.dst eq 10.2.6.10

学新通

学新通

7.2 过滤端口

  • tcp.port eq 80 // 不管端口是来源的还是目标的都显示
  • tcp.dstport == 80 // 只显tcp协议的目 标端口80
  • tcp.srcport == 80 // 只显tcp协议的来 源端口80
  • 过滤端口范围
tcp.port >= 1 and tcp.port <= 80

学新通

7.3 过滤协议 

例子 :tcp udp arp

学新通

7.4 过滤MAC

  • 以太网头过滤
  • eth.dst == A0:00:00:04:C5:84 // 过滤目标mac eth.src eq A0:00:00:04:C5:84 // 过滤来源mac
  • eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84

7.5 包长度过滤

  • udp.length == 26      这个长度是指udp本身固定长度8加上udp下面那块数据包之和
  • tcp.len >= 7              指的是ip数据包(tcp下面那块数据),不包括tcp本身

7.6 http模式过滤

例子 :
http.request.method == GET http.request.method == POST http.request.uri == /img/logo
edu.gif http contains GET
http contains HTTP/1.

这篇好文章是转载于:学新通技术网

  • 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
  • 本站站名: 学新通技术网
  • 本文地址: /boutique/detail/tanhfbbabg
系列文章
更多 icon
同类精品
更多 icon
继续加载
友情链接: 申请要求:权重≥3,IP≥1000,内容属同类网站; 申请邮件: luke.wu●vfv.cc 友情链接交换群: 友情链接交换群
外链价格: 【首页 30/月 - 300/年】【内页 50/月 - 500/年】【全站 70/月 - 700/年】 购买外链请加QQ群: 站长交流群