Wireshark
Wireshark是一款免费开源的网络协议分析工具,它可以捕获和分析网络流量,帮助用户诊断网络问题、分析协议行为、检测安全漏动等。Wireshark支持多种网络协议,并提供了丰富的过滤和分析功能,使其成为网络工程师、安全分析师和开发人员的必备工具。
主要功能
实时流量捕获:可以在网络接口上实时捕获数据包。
协议解析:支持数百种网络协议,能够深入解析每一层的数据。
过滤和搜索:提供强大的过滤功能,可以在捕获过程中或之后进行精确的数据包筛选。
统计数据:生成各种统计数据,帮助用户理解网络流量的分布和趋势。
专家系统:内置专家系统,可以检测并标记潜在的网络问题。
文件导入和导出:支持导入和导出多种格式的捕获文件,方便数据共享和分析。
使用方法
1. 安装Wireshark
Wireshark可以在Windows、macOS和Linux等多种操作系统上运行。你可以从官方网站( https://www.wireshark.org/)下载适合你操作系统的版本,并按照安装指南进行安装。
2. 启动Wireshark
安装完成后,打开Wireshark应用程序。首次启动时,可能会要求你选择一个网络接口用于捕获流量。
3. 捕获流量
选择网络接口:在主界面的顶部选择你要捕获流量的网络接口。
设置捕获选项:在“Capture Options”窗口中,可以选择捕获模式(如普通模式或混杂模式)、捕获时间限制等。
开始捕获:点击“Start”按钮开始捕获流量。
4. 使用过滤器
Wireshark提供了两种主要的过滤器:捕获过滤器(Capture Filter)和显示过滤器(Display Filter)。
捕获过滤器:在捕获过程中使用,可以减少不必要的数据包捕获。
显示过滤器:在捕获完成后使用,可以帮助你在已捕获的数据包中进行精确查找。
例如,如果你想只捕获HTTP流量,可以在捕获选项中设置捕获过滤器为“http”。如果你只想查看特定IP地址的数据包,可以在显示过滤器中输入“ip.addr == <IP Address>”。
5. 分析捕获结果
捕获完成后,Wireshark会显示所有捕获到的数据包。你可以通过双击某个数据包来查看其详细信息,包括各个协议层的详细内容。
6. 使用统计数据
Wireshark提供了多种统计信息,如流量图、协议层次结构、会话统计等。可以通过“Statistics”菜单访问这些功能,帮助你更好地理解网络流量。
7. 导出捕获文件
如果你需要将捕获的数据分享给他人或在其他设备上分析,可以使用“File”菜单中的“Save”或“Export”功能,将捕获文件保存为不同的格式(如pcap、txt、csv等)。
注意事项
隐私和法律:在捕获和分析网络流量时,必须遵守相关法律法规和隐私政策,不得未经授权捕获他人的网络流量。
性能影响:在高流量的网络环境中,长时间捕获大量数据包可能会影响系统性能,建议合理设置捕获时间和过滤条件。
通过以上步骤,你可以有效地使用Wireshark来诊断网络问题、分析协议行为和提高网络安全。
使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。
过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
过滤器有两种,
一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录
一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。 在Capture -> Capture Filters 中设置
保存过滤
在Filter栏上,填好Filter的表达式后,点击Save按钮, 取个名字。比如"Filter 102",
过滤表达式的规则
表达式规则
1. 协议过滤
比如TCP,只显示TCP协议。
2. IP 过滤
比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,
ip.dst==192.168.1.102, 目标地址为192.168.1.102
3. 端口过滤
tcp.port ==80, 端口为80的
tcp.srcport == 80, 只显示TCP协议的愿端口为80的。
4. Http模式过滤
http.request.method=="GET", 只显示HTTP GET方法的。
5. 逻辑运算符为 AND/ OR
常用的过滤表达式
