快速学习多协议抓包利器Wireshark

简介: 快速学习多协议抓包利器Wireshark

你知道常用的抓包工具有哪些?Fiddler、charles、Wireshark,我们常接触的无非这几种,前面介绍过fiddler,它跟charles一样,简单易用,协议数据清晰可视。对于常见抓包场景Fiddler、charles已经够用了。

为啥还要学习Wireshark?

因为Fiddler、charles采用是web代理的方式捕获数据包,无法完成如下这两个场景:

  • 抓取非HTTP、HTTPS协议的数据,
  • 抓取服务端的数据。

Wireshark是什么?

Wireshark 当前应用最广泛的网络协议分析工具,它是一个多协议的网络分析工具,不仅仅支持http、https,而是支持常见的所有协议,并且支持多平台,Windows、linux、mac都不在话下。

Wireshark这么强大,我们一般用它来做什么?

用户通常使用Wireshark来学习各种网络协议,定位分析网络问题,分析应用程序使用何种协议进行工作。

1.下载安装

官方下载地址:https://www.Wireshark.org/download.html

下载后直接双击安装即可。

2.界面基本介绍

启动Wireshark后,首先加载的是网卡接口选择界面。根据需要选择监听的网卡。

image-20210822094017768

选择网卡之后,Wireshark开始自动捕获协议数据,整个窗口布局如下:

image-20210822094037337

Wireshark抓取的数据包与七层OSI模型的关系

image-20210822094355164

3.过滤器

由于Wireshark直接捕获底层网络数据包,导致其捕获的数据包数量通常较大。为了便于筛选数据包,去除冗余的信息,Wireshark提供了两种好用的过滤器,便于我们有针对性的对数据包进行筛选分析。

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

两种过滤器:捕获过滤器,显示过滤器。

1、捕获过滤器:提前设置需要抓取的数据包规则,减小报文的体积。

操作路径:Capture(捕获)-->Options(选项)-->Capture Filter(捕获过滤器)

image-20210822094505358

进入捕获>捕获过滤器,wireshark已经提供了一些常见的过滤规则。

image-20210822094532507

语法规则: 语法:<Protocol>

常用捕获过滤语句举例:

  • 只显示目的TCP端口为8080的数据包: tcp dst port8080
  • 只显示来源IP地址为192.168.171.201的数据包: ip src host192.168.171.201
  • 只显示目的P地址为192.168.5.231的数据包: ip dst host192.168.5.231
  • 只捕获主机192.168.5.001的http流量: host192.168.5.001andport80andhttp
2、显示过滤器:对已经抓取的报文进行筛选过滤,可以在捕获过程中或者捕获后随时更改,比捕获过滤器功能更强大。

语法规则:<Protocol><Direction><Host(s)><Value><LogicalOperations><Otherexpression>

直接过滤框中输入过滤规则

image-20210822094651487

常用显示过滤语句举例:

筛选含有IP地址192.168.0.1的数据包

ip.addr==192.168.0.1

筛选源地址是192.168.171.1的数据包

ip.src==192.168.171.1

筛选目的地址是192.168.171.1的数据包

ip.dst==192.168.0.1

只显示含有80端口的数据包

tcp.port==80

所有的HTTP POST请求

http.request.method=="POST"

URL中包含baidu的http请求

http.request.uri contains"baidu"

关于Wireshark几个好用的技巧

技巧1:直接选中具体的数据摘要或者详情信息,右键选择作为过滤器。

image-20210822094735809

技巧2:在过滤规则输入框右侧点击表达式,根据需要使用的规则、关系、值进行组合。

image-20210822094807702

技巧3:选择需要具体分析的数据包,然后右键选择“追踪流”,选择协议,就可以看到与这对ip和端口以及协议相同的全部通信。

image-20210822094833956

Wireshark还有强大的数据包分析功能,大家可以自行百度学习。

目录
相关文章
|
5月前
|
运维 网络协议 安全
Wireshark网络抓包工具入门指南
Wireshark是一款功能强大的开源网络协议分析器,它允许用户捕获和查看网络接口上传输的详细数据包信息。无论是网络故障排查、安全分析还是开发调试,Wireshark都能提供深入的网络洞察。本文旨在为初学者提供Wireshark的基本使用方法,帮助快速掌握网络抓包技巧。
588 0
|
运维 网络协议
网络协议分析与抓包工具:Wireshark的高级用法
在网络开发和故障排查中,深入了解网络协议和网络流量是至关重要的。Wireshark作为一款强大的网络协议分析和抓包工具,为开发人员提供了丰富的功能和高级用法。本文将介绍Wireshark的高级用法,包括过滤器的应用、统计信息的分析以及自定义协议的解析。通过掌握这些技巧,您将能够更加深入地分析网络流量,识别问题并加速故障排查过程。
999 0
|
网络协议
Wireshark基础及使用
Wireshark-- 网络分析工具 基础及使用
Wireshark基础及使用
|
anyproxy
AnyProxy抓包实践
AnyProxy抓包实践
525 0
|
缓存 监控 网络协议
Wireshark网络抓包(四)——工具
1. File:了解抓包文件的各种属性,例如抓包文件的名称、路径、文件所含数据包的规模等信息 2. Time:获悉抓包的开始、结束和持续时间 3. Capture:抓包文件由哪块网卡生成、OS版本、Wireshark版本等信息 4. Display:剩下的是汇总统计信息,数据包的总数、数量以及占比情况、网速等
Wireshark网络抓包(四)——工具
|
域名解析 缓存 自然语言处理
Wireshark网络抓包(三)——网络协议
IP地址在OSI模型第三层,MAC地址在OSI第二层,彼此不直接通信; 在通过以太网发生IP数据包时,先封装第三层(32位IP地址)和第二层(48位MAC地址)的报头; 但由于发送数据包时只知道目标IP地址,不知道其Mac地址,且不能跨越第二、三层,所以需要使用地址解析协议。
Wireshark网络抓包(三)——网络协议