大家好,我是阿萨。从昨天起,我们就开始学习Wireshark了。 Mac 电脑如何安装Wireshark?昨天介绍了如何使用Wireshark 开始抓包。开始今天的学习之前,大家先思考一个问题。Wireshark 把一个网口的所有网络包都抓住了,内容肯定很多也有很多噪音。
如何只抓取某个IP 以及某个端口的所有网络包呢?带着这个问题开始今天的学习吧。使用Wireshark肯定是想分析相关信息。今天我们就先学习下Wireshark的 分析这个菜单的所有功能。
一,Wireshark 的分析菜单都有哪些功能呢?
首先我们看下分析菜单里的都有哪些条目:
我们可以看到一共分成功5大类。首先看下每一个菜单的作用。
1. Display Filters显示过滤器…
显示允许您创建和编辑显示筛选器的对话框。您可以命名过滤器,并保存它们以备将来使用。
2. Display Filter Macros…显示过滤器宏……
显示允许您创建和编辑显示筛选器宏的对话框。您可以命名过滤器宏,并保存它们以备将来使用。
3. Display Filter Expression…显示过滤器表达式显示允许您使用的所有过滤器的表达式对话框,可以用来检索关键字,来方便用户创建表达式。
4. Apply as Column
应用为列
将报文详细信息窗格中选择的协议项以列的形式添加到报文列表中。
5. Apply as Filter
应用过滤
更改当前的显示过滤器并立即应用它。根据选择的菜单项,当前的显示过滤器字符串将被包详细信息窗格中选择的协议字段替换或附加。6. Prepare as Filter
准备作为过滤器
更改当前的显示过滤器,但不应用它。根据选择的菜单项,当前的显示过滤器字符串将被包详细信息窗格中选择的协议字段替换或附加。7. Conversation Filter
会话过滤器对各种协议应用会话过滤器。
8.Enabled Protocols…启用协议……
启用或禁用各种协议dissector。支持的所有协议的列表。
8.Decode As…解码为…
解码某些数据包作为一个特定的协议。
9.Follow→TCP Stream/UDP Stream/TLS Stream/HTTP Stream
打开一个窗口,显示与所选数据包在同一TCP连接上捕获的所有TCP/UDP?TLS/HTTP段。
10. 专家信息
打开一个窗口,显示在捕获中找到的专家信息。一些协议剖析器为显著的或不寻常的行为(如无效的校验和或重传)添加包细节项。这些项目显示在这里。
信息的数量将根据协议的不同而不同
二, Wireshark 常用过滤器有哪些?
从上面的分析菜单我们可以看到过滤器的表达式成千上万, 如何快速找到我想要的过滤内容呢?过滤器分2种,捕获过滤器和结果过滤器。捕获过滤器就是抓包的时候进行过滤。
菜单位置如下:
结果过滤器,就是抓包结束后,进行过滤。
菜单位置如下:
回到我们开始的问题。捕获过滤器:
1.只 抓取本机(192.0.0.1 到某个服务器(192.0.6.66)的 所有网络包。(src host 192.0.0.1 && dst host 192.0.6.66) || (src host 192.0.0.1 && dst host 192.0.6.66)
2.只想要443端口的传输数据port 443
结果过滤器:
1.只想看192.0.0.1和192.0.6.66相关的通信ip.addr == 192.0.0.1 || ip.addr == 192.0.0.1
2.想看443端口的网络包tcp.port == 443今天是wireshark 刚开始,内容比较简单。
你学会了吗?如果觉得阿萨的内容对你有帮助,欢迎围观点赞。
