wireshark学习笔记

阅读目录

• 一、Wireshark 界面介绍
• 二、显示界面设置
• 三、数据包操作
• 四、首选项设置
• 五、抓包选项设置
• 六、捕获过滤器设置
• 七、显示过滤器设置
• 八、其他功能

回到顶部

一、Wireshark 界面介绍

1.捕获报文

• 点击捕获->选项，打开捕获窗口
　　• 网卡设备/流量/捕获过滤器，点击“开始”按钮开始抓包
　　• 输出（指定缓存文件）/选项（显示、名称解析、自动停止抓包条件） 面板

2.报文展示

3.快捷方式工具栏

4.数据包列表面板的标记符号

回到顶部

二、显示界面设置

1.设定时间显示格式(视图--时间显示格式中设置)

绝对时间

相对时间

基于某一个数据包的相对时间

后续包临时基于3号包

2.显示大小

放大

缩小

还原

3.列设置

增加列

修改列

隐藏及删除列

4.名字解析

将Mac地址、IP地址、端口转换成名称，浏览大的情况下慎重开启

回到顶部

三、数据包操作

1.标记数据包

2.会话着色

临时修改数据包着色

永久修改对话着色

3.合并数据包

4.打印数据包

回到顶部

四、首选项设置

1.修改默认打开文件路径(默认是上一次)

2.界面布局

3.修改抓包设置

4.修改名称解析(之前是临时设置)

回到顶部

五、抓包选项设置

1.接口及捕获器设置

2.输出文件配置

3.设置名称解析及自动停止抓包

回到顶部

六、捕获过滤器设置

1.捕获过滤器简介

通过指定条件，减少抓取的报文体积

使用 BPF 语法，功能相对有限

2.捕获器表达式

语法说明

2.1 type类型

host、port

net ，设定子网，net 192.168.0.0 mask 255.255.255.0 等价于 net 192.168.0.0/24

portrange，设置端口范围，例如 portrange 6000-8000

2.2 dir指定网络方向

src、dst、src or dst、src and dst

ra、ta、addr1、addr2、addr3、addr4（仅对 IEEE 802.11 Wireless LAN 有效）

2.3 protocol指定协议类型

ether、fddi、tr、 wlan、 ip、 ip6、 arp、 rarp、 decnet、 tcp、udp、icmp、igmp、icmp、

igrp、pim、ah、esp、vrrp

2.4 逻辑运算

与：&& 或者 and

或：|| 或者 or

非：! 或者 not

2.5.其他

gateway：指明网关 IP 地址，等价于 ether host ehost and not host host

broadcast：广播报文，例如 ether broadcast 或者 ip broadcast

multicast：多播报文，例如 ip multicast 或者 ip6 multicast

less, greater：小于或者大于

3.示例

src or dst portrange 6000-8000 && tcp or ip6   抓取源和目标端口范围为6000-8000的流量
src host 192.168.1.1 && dst port 80    抓取源地址为192.168.1.1，并且端口为80的流量
host 192.168.1.1 || host 192.168.1.2   抓取源地址为192.168.1.1或者192.168.1.2主机的流量
!broadcast 不抓取广播包
ether src host 00:00:5e:00:53:00  抓取源MAC地址为  00:00:5e:00:53:00的流量
port 80 抓取80端口流量
arp  只抓取ARP协议流量
icmp 只抓钱ICMP协议流量
tcp src port 22  抓取源端口为22 TCP协议数据包
tcp dst portrange 21-23 抓取模板端口为21-23 TCP协议数据包
官方示例：https://gitlab.com/wireshark/wireshark/-/wikis/CaptureFilters
官方文档：https://www.tcpdump.org/manpages/pcap-filter.7.html

回到顶部

七、显示过滤器设置

1.显示过滤器简介

对已经抓取到的报文过滤显示

功能强大

2.语法说明

2.1 比较操作符

2.2 逻辑操作符

2.3 网络方向及协议

参考捕获过滤器

2.4 帮助文档

1.分析--显示过滤器

2.分析--过滤表达式

3.常用显示过滤表达式

官方示例：https://gitlab.com/wireshark/wireshark/-/wikis/DisplayFilters

回到顶部

八、其他功能

1.追踪流

选择数据包，根据协议选择具体的追踪流类型

2.专家信息

查看会话稳定性

3.统计摘要说明

注意的是该摘要说明是全局的统计

4.协议分成统计

统计流量中不同协议占用的百分比，可以直观的了解哪些流量占用多哪些流量占用少

5.网络节点和会话统计

统计网络会话之间接收和发送的数据包和字节数以及统计会话中每个节点接收和发送的数据包和字节数

网络会话是源和目的都统计，网络节点是单个IP或Mac地址

网络会话

网络节点

5.图标分析

IO图标

网络中的吞吐量进行实时显示

流量图