wireshark学习笔记

本文涉及的产品
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: wireshark学习笔记

wireshark学习笔记

阅读目录

回到顶部

一、Wireshark 界面介绍

1.捕获报文

点击捕获->选项,打开捕获窗口
  • 网卡设备/流量/捕获过滤器,点击“开始”按钮开始抓包
  • 输出(指定缓存文件)/选项(显示、名称解析、自动停止抓包条件) 面板

2.报文展示

3.快捷方式工具栏

4.数据包列表面板的标记符号

回到顶部

二、显示界面设置

1.设定时间显示格式(视图--时间显示格式中设置)

绝对时间

相对时间

基于某一个数据包的相对时间

后续包临时基于3号包

2.显示大小

放大

缩小

还原

3.列设置

增加列

修改列

隐藏及删除列

4.名字解析

将Mac地址、IP地址、端口转换成名称,浏览大的情况下慎重开启

回到顶部

三、数据包操作

1.标记数据包

2.会话着色

临时修改数据包着色

永久修改对话着色

3.合并数据包

4.打印数据包

回到顶部

四、首选项设置

1.修改默认打开文件路径(默认是上一次)

2.界面布局

3.修改抓包设置

4.修改名称解析(之前是临时设置)

回到顶部

五、抓包选项设置

1.接口及捕获器设置

2.输出文件配置

3.设置名称解析及自动停止抓包

回到顶部

六、捕获过滤器设置

1.捕获过滤器简介

通过指定条件,减少抓取的报文体积

使用 BPF 语法,功能相对有限

2.捕获器表达式

语法说明

2.1 type类型

host、port

net ,设定子网,net 192.168.0.0 mask 255.255.255.0 等价于 net 192.168.0.0/24

portrange,设置端口范围,例如 portrange 6000-8000

2.2 dir指定网络方向

src、dst、src or dst、src and dst

ra、ta、addr1、addr2、addr3、addr4(仅对 IEEE 802.11 Wireless LAN 有效)

2.3 protocol指定协议类型

ether、fddi、tr、 wlan、 ip、 ip6、 arp、 rarp、 decnet、 tcp、udp、icmp、igmp、icmp、

igrp、pim、ah、esp、vrrp

2.4 逻辑运算

与:&& 或者 and

或:|| 或者 or

非:! 或者 not

2.5.其他

gateway:指明网关 IP 地址,等价于 ether host ehost and not host host

broadcast:广播报文,例如 ether broadcast 或者 ip broadcast

multicast:多播报文,例如 ip multicast 或者 ip6 multicast

less, greater:小于或者大于

3.示例

src or dst portrange 6000-8000 && tcp or ip6   抓取源和目标端口范围为6000-8000的流量
src host 192.168.1.1 && dst port 80    抓取源地址为192.168.1.1,并且端口为80的流量
host 192.168.1.1 || host 192.168.1.2   抓取源地址为192.168.1.1或者192.168.1.2主机的流量
!broadcast 不抓取广播包
ether src host 00:00:5e:00:53:00  抓取源MAC地址为  00:00:5e:00:53:00的流量
port 80 抓取80端口流量
arp  只抓取ARP协议流量
icmp 只抓钱ICMP协议流量
tcp src port 22  抓取源端口为22 TCP协议数据包
tcp dst portrange 21-23 抓取模板端口为21-23 TCP协议数据包
官方示例:https://gitlab.com/wireshark/wireshark/-/wikis/CaptureFilters
官方文档:https://www.tcpdump.org/manpages/pcap-filter.7.html

回到顶部

七、显示过滤器设置

1.显示过滤器简介

对已经抓取到的报文过滤显示

功能强大

2.语法说明

2.1 比较操作符

2.2 逻辑操作符

2.3 网络方向及协议

参考捕获过滤器

2.4 帮助文档

1.分析--显示过滤器

2.分析--过滤表达式

3.常用显示过滤表达式

 

官方示例:https://gitlab.com/wireshark/wireshark/-/wikis/DisplayFilters

回到顶部

八、其他功能

1.追踪流

选择数据包,根据协议选择具体的追踪流类型

2.专家信息

查看会话稳定性

3.统计摘要说明

注意的是该摘要说明是全局的统计

4.协议分成统计

统计流量中不同协议占用的百分比,可以直观的了解哪些流量占用多哪些流量占用少

5.网络节点和会话统计

统计网络会话之间接收和发送的数据包和字节数以及统计会话中每个节点接收和发送的数据包和字节数

网络会话是源和目的都统计,网络节点是单个IP或Mac地址

网络会话

网络节点

5.图标分析

IO图标

网络中的吞吐量进行实时显示

流量图

 

 

 

 

 

 

 

相关文章
|
应用服务中间件 nginx
wireshark抓包入门使用教程
wireshark抓包入门使用教程
1117 0
wireshark抓包入门使用教程
|
2月前
|
网络协议 安全 Linux
|
网络协议
Wireshark使用
Wireshark使用
56 0
|
7月前
|
网络协议
wireshark学习
wireshark学习
Wireshark使用技巧来了!
Wireshark作为网络数据软件,功能强大,本专栏介绍仅为冰山一角,仅仅是一个入门级别的介绍,大部分功能还需要在日常工作中进行挖掘。 总结Wireshark软件的使用技巧如下: 1.合理部署Wireshark的位置,从源头保障能够抓取到数据包。一般部署到核心网络区域。 2.选定恰当捕获接口。 3.使用捕获过滤器,过滤掉不必要数据,避免不必要的数据干扰。 4.使用显示过滤器。明确目标数据包。 使用着色规则。突出显示目标会话数据。
|
网络协议 网络架构
WireShark使用总结
WireShark使用总结
90 0
|
网络协议
wireshark
wireshark入门篇
wireshark
WireShark 使用
1、干货 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
1086 0