大家好,我是阿萨。昨天我们学习了View 菜单,了解了Wireshark 的界面bu布局,以及如何显示或者隐藏各个界面功能,以及如何为Packet 进行设置颜色规则的功能。
今天我们学习下Go 和Capture 这2个菜单。今天为什么会学习2个菜单呢?主要是因为Go 菜单和Capture 菜单功能相对来说都比较简单。所以我们就合并到这一次来学习。
一。Go 功能是干什么的?
首先我们看下 Go 功能提供的功能列表。
- Go To Packet
这个功能是直接跳到有指定序号的Packet。
点击后会出现如下菜单,输入Packet的序列号,就会自动跳转到指定的Packet 哪里。
- 跳转到指定的Packet。
这里提供了当前Packet 的之前,之后的Packet。以及当前会话里的之前Packet 和之后Packet. 包括可以查看历史Packet 里的Packet。
- Auto scroll in Live Capture
如果打上对勾,抓包时,Packet list 就会自动滚动。
如果没有打开对勾,抓包时,Packet list 就不会滚动。
以上就是Go 功能的介绍。是不是很简单?
二。Capture 功能都干了些什么?
- Options
打开设置捕捉选项的对话框。
- 通过这三张截图可以看出来来,
Input 就是抓取那个网口的包,可以输入capture 的Filter 再抓包时,直接过滤掉不用的包。
Output是把抓到的包自动保存到一个临时文件中。可以自动存成多个文件,需要写开始新文件的条件。
Options就是抓包的一些设置。以及遇到什么条件自动停止抓包。 - Start /Stop/Restart
就是Toolbar上的前三个,开始,停止,重新抓包。 - Capture Filters
这个功能非常重要,所有用到Wireshark 的人都会用到的功能,那就是抓包过滤器。就是在抓包时丢失不满足条件的包,只保留有价值的包。
具体范例见下一个章节。
4. Refresh Interface
刷新网口。
三。捕获过滤器的一些例子。
1.只显示tcp(端口25)和ICMP流量:
tcp.port eq 25 or icmp
2.只显示局域网(192.168.x.x)中客户端和服务器之间的流量-没有互联网:
ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16
3. 在Windows上过滤-过滤噪音,观察Windows客户端- DC交换
smb || nbns || dcerpc || nbss || dns
4.在UDP负载的开头匹配包含(任意)3字节序列0x81、0x60、0x03的数据包,跳过8字节的UDP报头。请注意,字节序列的值隐式地仅为十六进制。(用于匹配本地包协议。)
udp[8:3]==81:60:03
5. “切片”特性还可以用于对MAC地址的供应商标识符部分(OUI)进行过滤,。因此,可以将显示限制为只显示来自特定设备制造商的数据包。例如,只适用于戴尔电脑:
eth.addr[0:3]==00:06:5B
6.匹配uri中最后一个字符为“Sarah”的HTTP请求:
http.request.uri matches "Sarah$"
注意:$字符是一个PCRE标点字符,它匹配字符串的结尾,在本例中是http.request.uri字段的结尾。
7.通过协议(如SIP)过滤并过滤掉不需要的ip:
ip.src != xxx.xxx.xxx.xxx && ip.dst != xxx.xxx.xxx.xxx && sip
8. 注意事项:
在过滤地址的时候,
ip.addr == 192.168.0.1 这个表达式的反向结果 不是ip.addr!= 192.168.0.1.
而是!(ip.addr ==192.168.0.1)。
今天的内容干货比较多,是Wireshark 入门中必须要用到的基础知识。很有帮助。今天的学习到此结束。
