Wireshark

简介: Wireshark

image.png Wireshark

Wireshark是一款免费开源的网络协议分析工具,它可以捕获和分析网络流量,帮助用户诊断网络问题、分析协议行为、检测安全漏动等。Wireshark支持多种网络协议,并提供了丰富的过滤和分析功能,使其成为网络工程师、安全分析师和开发人员的必备工具。

主要功能

实时流量捕获:可以在网络接口上实时捕获数据包。

协议解析:支持数百种网络协议,能够深入解析每一层的数据。

过滤和搜索:提供强大的过滤功能,可以在捕获过程中或之后进行精确的数据包筛选。

统计数据:生成各种统计数据,帮助用户理解网络流量的分布和趋势。

专家系统:内置专家系统,可以检测并标记潜在的网络问题。

文件导入和导出:支持导入和导出多种格式的捕获文件,方便数据共享和分析。

使用方法

1. 安装Wireshark

Wireshark可以在Windows、macOS和Linux等多种操作系统上运行。你可以从官方网站( https://www.wireshark.org/)下载适合你操作系统的版本,并按照安装指南进行安装。

2. 启动Wireshark

安装完成后,打开Wireshark应用程序。首次启动时,可能会要求你选择一个网络接口用于捕获流量。

3. 捕获流量

image.png

选择网络接口:在主界面的顶部选择你要捕获流量的网络接口。

设置捕获选项:在“Capture Options”窗口中,可以选择捕获模式(如普通模式或混杂模式)、捕获时间限制等。

开始捕获:点击“Start”按钮开始捕获流量。

4. 使用过滤器

image.png

Wireshark提供了两种主要的过滤器:捕获过滤器(Capture Filter)和显示过滤器(Display Filter)。

捕获过滤器:在捕获过程中使用,可以减少不必要的数据包捕获。

显示过滤器:在捕获完成后使用,可以帮助你在已捕获的数据包中进行精确查找。

例如,如果你想只捕获HTTP流量,可以在捕获选项中设置捕获过滤器为“http”。如果你只想查看特定IP地址的数据包,可以在显示过滤器中输入“ip.addr == <IP Address>”。

5. 分析捕获结果

捕获完成后,Wireshark会显示所有捕获到的数据包。你可以通过双击某个数据包来查看其详细信息,包括各个协议层的详细内容。

6. 使用统计数据

Wireshark提供了多种统计信息,如流量图、协议层次结构、会话统计等。可以通过“Statistics”菜单访问这些功能,帮助你更好地理解网络流量。

7. 导出捕获文件

如果你需要将捕获的数据分享给他人或在其他设备上分析,可以使用“File”菜单中的“Save”或“Export”功能,将捕获文件保存为不同的格式(如pcap、txt、csv等)。

注意事项

隐私和法律:在捕获和分析网络流量时,必须遵守相关法律法规和隐私政策,不得未经授权捕获他人的网络流量。

性能影响:在高流量的网络环境中,长时间捕获大量数据包可能会影响系统性能,建议合理设置捕获时间和过滤条件。

通过以上步骤,你可以有效地使用Wireshark来诊断网络问题、分析协议行为和提高网络安全。

image.png

image.png

使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种,

一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录

一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。 在Capture -> Capture Filters 中设置

保存过滤

在Filter栏上,填好Filter的表达式后,点击Save按钮, 取个名字。比如"Filter 102",

image.png

过滤表达式的规则

表达式规则

1. 协议过滤

比如TCP,只显示TCP协议。

2. IP 过滤

比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,

ip.dst==192.168.1.102, 目标地址为192.168.1.102

3. 端口过滤

tcp.port ==80,  端口为80的

tcp.srcport == 80,  只显示TCP协议的愿端口为80的。

4. Http模式过滤

http.request.method=="GET",   只显示HTTP GET方法的。

5. 逻辑运算符为 AND/ OR

常用的过滤表达式


相关文章
|
6月前
|
网络协议
自己总结的wireshark抓包技巧
自己总结的wireshark抓包技巧
136 0
|
4月前
wireshark 抓包使用
wireshark 抓包使用
54 8
|
网络协议
Wireshark使用
Wireshark使用
53 0
|
3月前
|
缓存 网络协议
wireshark学习笔记
wireshark学习笔记
Wireshark使用技巧来了!
Wireshark作为网络数据软件,功能强大,本专栏介绍仅为冰山一角,仅仅是一个入门级别的介绍,大部分功能还需要在日常工作中进行挖掘。 总结Wireshark软件的使用技巧如下: 1.合理部署Wireshark的位置,从源头保障能够抓取到数据包。一般部署到核心网络区域。 2.选定恰当捕获接口。 3.使用捕获过滤器,过滤掉不必要数据,避免不必要的数据干扰。 4.使用显示过滤器。明确目标数据包。 使用着色规则。突出显示目标会话数据。
|
网络协议 网络架构
WireShark使用总结
WireShark使用总结
85 0
|
网络协议 安全 网络安全
Wireshark一次抓包心得
使用Wireshark抓包,来了解邮箱与服务器之间的交互。
347 0
Wireshark一次抓包心得
|
网络协议
wireshark
wireshark入门篇
wireshark
|
网络协议 Unix Linux
Wireshark和TcpDump抓包分析心得
Wireshark和 TcpDump抓包分析心得    1. Wireshark与tcpdump介绍  Wireshark是一个网络协议检测工具,支持Windows平台和Unix平台,我一般只在Windows平台下使用Wireshark,如果是Linux的话,我直接用tcpdump了,因为我工作环境中的Linux一般只有字符界面,且一般而言Linux都自带的tcpdump,或者用tcpdump抓包以后用Wireshark打开分析。
4616 0