作者:张医博
背景:
此片文章意在介绍 Wireshark 的基本抓包使用,没有复杂介绍,请各位知晓
功能介绍
wireshark 安装完后可能有中英文两种,但是操作区域基本都是一致;
1 Wireshark 读到本机所有的网络接口,包含虚拟和物理网络接口;
2 填写 Wireshark 的抓包捕获条件,比如最简单的域名匹配抓包 host www.taobao.com ,但是如果客户端启动了 https 协议传输,那么 http 七层的抓包条件是不启作用的,数据包已经加密;
3 启动抓包;
4 停止抓包;
5 重新抓包,之前设置的相关抓包条件保持不便;
如果我们仅是简单的抓包使用,按照上述的操作即可抓到你想要的数据包;
存储
抓包停止后,直接通过最简单的文件,另存为,保存到对应目录下,格式为 pcap 的文件即可;
过滤数据包
常用表达式
过滤 SYN 包 tcp.flags.syn==1
过滤 RESET 包
过滤 IP ip.addr == 'xxxx'
辅助分析
IO Graf 主要用来分析吞吐,重传、以及根据标志位分析数据包,具体可以 Google 使用方法;
专家分析 对各种数据包类型进行汇总统计,展示比较清晰;