wireshark学习笔记

简介: wireshark学习笔记

wireshark学习笔记

阅读目录

回到顶部

一、Wireshark 界面介绍

1.捕获报文

点击捕获->选项,打开捕获窗口
  • 网卡设备/流量/捕获过滤器,点击“开始”按钮开始抓包
  • 输出(指定缓存文件)/选项(显示、名称解析、自动停止抓包条件) 面板

2.报文展示

3.快捷方式工具栏

4.数据包列表面板的标记符号

回到顶部

二、显示界面设置

1.设定时间显示格式(视图--时间显示格式中设置)

绝对时间

相对时间

基于某一个数据包的相对时间

后续包临时基于3号包

2.显示大小

放大

缩小

还原

3.列设置

增加列

修改列

隐藏及删除列

4.名字解析

将Mac地址、IP地址、端口转换成名称,浏览大的情况下慎重开启

回到顶部

三、数据包操作

1.标记数据包

2.会话着色

临时修改数据包着色

永久修改对话着色

3.合并数据包

4.打印数据包

回到顶部

四、首选项设置

1.修改默认打开文件路径(默认是上一次)

2.界面布局

3.修改抓包设置

4.修改名称解析(之前是临时设置)

回到顶部

五、抓包选项设置

1.接口及捕获器设置

2.输出文件配置

3.设置名称解析及自动停止抓包

回到顶部

六、捕获过滤器设置

1.捕获过滤器简介

通过指定条件,减少抓取的报文体积

使用 BPF 语法,功能相对有限

2.捕获器表达式

语法说明

2.1 type类型

host、port

net ,设定子网,net 192.168.0.0 mask 255.255.255.0 等价于 net 192.168.0.0/24

portrange,设置端口范围,例如 portrange 6000-8000

2.2 dir指定网络方向

src、dst、src or dst、src and dst

ra、ta、addr1、addr2、addr3、addr4(仅对 IEEE 802.11 Wireless LAN 有效)

2.3 protocol指定协议类型

ether、fddi、tr、 wlan、 ip、 ip6、 arp、 rarp、 decnet、 tcp、udp、icmp、igmp、icmp、

igrp、pim、ah、esp、vrrp

2.4 逻辑运算

与:&& 或者 and

或:|| 或者 or

非:! 或者 not

2.5.其他

gateway:指明网关 IP 地址,等价于 ether host ehost and not host host

broadcast:广播报文,例如 ether broadcast 或者 ip broadcast

multicast:多播报文,例如 ip multicast 或者 ip6 multicast

less, greater:小于或者大于

3.示例

src or dst portrange 6000-8000 && tcp or ip6   抓取源和目标端口范围为6000-8000的流量
src host 192.168.1.1 && dst port 80    抓取源地址为192.168.1.1,并且端口为80的流量
host 192.168.1.1 || host 192.168.1.2   抓取源地址为192.168.1.1或者192.168.1.2主机的流量
!broadcast 不抓取广播包
ether src host 00:00:5e:00:53:00  抓取源MAC地址为  00:00:5e:00:53:00的流量
port 80 抓取80端口流量
arp  只抓取ARP协议流量
icmp 只抓钱ICMP协议流量
tcp src port 22  抓取源端口为22 TCP协议数据包
tcp dst portrange 21-23 抓取模板端口为21-23 TCP协议数据包
官方示例:https://gitlab.com/wireshark/wireshark/-/wikis/CaptureFilters
官方文档:https://www.tcpdump.org/manpages/pcap-filter.7.html

回到顶部

七、显示过滤器设置

1.显示过滤器简介

对已经抓取到的报文过滤显示

功能强大

2.语法说明

2.1 比较操作符

2.2 逻辑操作符

2.3 网络方向及协议

参考捕获过滤器

2.4 帮助文档

1.分析--显示过滤器

2.分析--过滤表达式

3.常用显示过滤表达式

 

官方示例:https://gitlab.com/wireshark/wireshark/-/wikis/DisplayFilters

回到顶部

八、其他功能

1.追踪流

选择数据包,根据协议选择具体的追踪流类型

2.专家信息

查看会话稳定性

3.统计摘要说明

注意的是该摘要说明是全局的统计

4.协议分成统计

统计流量中不同协议占用的百分比,可以直观的了解哪些流量占用多哪些流量占用少

5.网络节点和会话统计

统计网络会话之间接收和发送的数据包和字节数以及统计会话中每个节点接收和发送的数据包和字节数

网络会话是源和目的都统计,网络节点是单个IP或Mac地址

网络会话

网络节点

5.图标分析

IO图标

网络中的吞吐量进行实时显示

流量图

 

 

 

 

 

 

 

相关文章
|
运维 Devops Java
阿里巴巴DevOps实践指南(十三)| 测试提效
分布式测试为测试速度插上了翅膀,精准测试有效的识别出了测试的范围,增量覆盖率又为测试的不断完备提供了有利的指引,线上覆盖率帮助我们有效的进行应用瘦身。充分利用好这些技术手段进行测试提效,可以让持续交付的过程更加的顺畅
阿里巴巴DevOps实践指南(十三)| 测试提效
|
3月前
|
JSON 数据安全/隐私保护 数据格式
拼多多批量下单软件,拼多多无限账号下单软件,python框架仅供学习参考
完整的拼多多自动化下单框架,包含登录、搜索商品、获取商品列表、下单等功能。
|
7月前
|
域名解析 网络协议 Ubuntu
dig 命令深入学习
dig 命令(Domain Information Groper)是一个用于查询 DNS (域名系统)记录的强大工具,它提供了详细的DNS信息,主要用于帮助用户诊断、调试和验证与域名解析相关的问题。
|
前端开发
进来!手把手教用css动画写loading效果
进来!手把手教用css动画写loading效果
|
域名解析 网络协议 Linux
域名解析类型及dig,nslookup进行Dns解析过程查看
域名解析类型及dig,nslookup进行Dns解析过程查看
417 4
|
机器学习/深度学习 数据采集 算法框架/工具
使用Python实现深度学习模型:智能人力资源管理与招聘
【8月更文挑战第12天】 使用Python实现深度学习模型:智能人力资源管理与招聘
421 2
|
安全 Java jenkins
metasploitable3环境安装
metasploitable3环境安装
371 0
|
人工智能 Android开发 C++
ChatGPT最强竞争对手,无需魔法,直接使用
ChatGPT最强竞争对手,无需魔法,直接使用
|
前端开发
【Netty 网络通信】ChannelFuture 解析
【1月更文挑战第9天】【Netty 网络通信】ChannelFuture 解析
|
资源调度 关系型数据库 MySQL
Flink问题之应用程序重启如何解决
Apache Flink是由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎。本合集提供有关Apache Flink相关技术、使用技巧和最佳实践的资源。
584 0