[工具使用]Wireshark(上)

简介: [工具使用]Wireshark

WireShark

简单使用

数据包的过滤

抓取时过滤

抓取后过滤

数据流跟踪

专业信息说明

数据包的统计分析

已解析的地址

协议分级

统计摘要说明(文件属性)

导出对象——>HTTP

数据包分析的小技巧

              Veni, vidi, vici! 我来,我见,我征服!
                                      ——Julius Caesar恺撒一世

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

官网下载链接

简单使用

image.png

image.png

http:

image.png

tcp:

image.png

停止抓包后,我们可以选择抓取到的数据包。

文件—>另存为,然后就会保存为一个pcap格式的文件


pcap文件格式

image.png

1.Pcap Header

文件头,每一个pcap文件只有一个文件头,总共占24(B)字节,以下是总共7个字段的含义。
Magic(4B):标记文件开始,并用来识别文件和字节顺序。值可以为0xa1b2c3d4或者0xd4c3b2a1,如果是0xa1b2c3d4表示是大端模式,按照原来的顺序一个字节一个字节的读,如果是0xd4c3b2a1表示小端模式,下面的字节都要交换顺序。现在的电脑大部分是小端模式。
Major(2B):当前文件的主要版本号,一般为0x0200
Minor(2B):当前文件的次要版本号,一般为0x0400
ThisZone(4B):当地的标准事件,如果用的是GMT则全零,一般全零
SigFigs(4B):时间戳的精度,一般为全零
SnapLen(4B):最大的存储长度,设置所抓获的数据包的最大长度,如果所有数据包都要抓获,将值设置为65535
LinkType(4B):链路类型。解析数据包首先要判断它的LinkType,所以这个值很重要。一般的值为1,即以太网

2.Packet Header


数据包头可以有多个,每个数据包头后面都跟着真正的数据包。以下是Packet Header的4个字段含义


Timestamp(4B):时间戳高位,精确到seconds,这是Unix时间戳。捕获数据包的时间一般是根据这个值


Timestamp(4B):时间戳低位,能够精确到microseconds


Caplen(4B):当前数据区的长度,即抓取到的数据帧长度,由此可以得到下一个数据帧的位置。


Len(4B):离线数据长度,网路中实际数据帧的长度,一般不大于Caplen,多数情况下和Caplen值一样

3.Packet Data


Packet是链路层的数据帧,长度就是Packet Header中定义的Caplen值,所以每个Packet Header后面都跟着Caplen长度的Packet Data。也就是说pcap文件并没有规定捕获的数据帧之间有什么间隔字符串。Packet数据帧部分的格式就是标准的网络协议格式了。


保存的pcap文件用010Editor打开如下图:

image.png

数据包的过滤

当我们选择抓取的网卡后,会抓取通过网卡的全部流量,但是绝大部分对我们的是没有用的,所以我们需要进行过滤,而过滤分为两种抓取时过滤抓取后过滤

抓取时过滤

image.png

如下图是wireshark默认的过滤,我们可以从左下角添加自己需要的过滤

image.png

捕获—>选项,下图绿色表示语法没有问题

image.png

抓取后过滤

一般情况是抓完包再过滤的,在上方输入我们的语法

image.png

过滤策略:


1、过滤地址

ip.addr192.168.10.10 或 ip.addr eq 192.168.10.10 #过滤地址

ip.src192.168.10.10 #过滤源地址

ip.dst==192.168.10.10 #过滤目的地址


2、过滤协议,直接输入协议名

icmp

http

tcp


3、过滤协议和端口

tcp.port80

tcp.srcport80

tcp.dstport80

udp.port端口号


4、过滤http协议的请求方式

http.request.method==“GET”

http.request.method==“POST”

http.request.uri contains admin #url中包含admin的

http.request.code==404 #http请求状态码的


5、连接符

&&

||

and

or


6、通过连接符可以把上面的命令连接在一起,比如:

ip.src192.168.10.10 and http.request.method"POST"

数据流跟踪

我们的一个完整的数据流一般都是由很多个包组成的,所以,当我们想查看某一条数据包对应数据流时 鼠标右键—>跟踪流,选择TCP、UDP、SSL、HTTP,选择对应的流。

image.png

选择对应的跟踪流之后,会弹出该流的完整数据流,还有这个数据流中包含的数据包。这时wireshark顶部的过滤器就是这条流的过滤规则。

相关文章
|
5月前
|
运维 网络协议 安全
Wireshark网络抓包工具入门指南
Wireshark是一款功能强大的开源网络协议分析器,它允许用户捕获和查看网络接口上传输的详细数据包信息。无论是网络故障排查、安全分析还是开发调试,Wireshark都能提供深入的网络洞察。本文旨在为初学者提供Wireshark的基本使用方法,帮助快速掌握网络抓包技巧。
589 0
|
7月前
|
网络协议
你知道Wireshark 最重要的功能是什么吗?
你知道Wireshark 最重要的功能是什么吗?
144 0
|
7月前
|
网络协议
wireshark学习
wireshark学习
|
网络协议
Wireshark 抓包工具介绍
Wireshark 抓包工具介绍
143 0
|
网络协议 Linux Windows
Wireshark网络分析入门篇
Wireshark网络分析入门篇
220 0
Wireshark网络分析入门篇
|
网络协议
Wireshark基础及使用
Wireshark-- 网络分析工具 基础及使用
Wireshark基础及使用
|
缓存 监控 网络协议
Wireshark网络抓包(四)——工具
1. File:了解抓包文件的各种属性,例如抓包文件的名称、路径、文件所含数据包的规模等信息 2. Time:获悉抓包的开始、结束和持续时间 3. Capture:抓包文件由哪块网卡生成、OS版本、Wireshark版本等信息 4. Display:剩下的是汇总统计信息,数据包的总数、数量以及占比情况、网速等
Wireshark网络抓包(四)——工具
|
网络协议 安全 Linux
抓包常用工具使用简介
抓包常用工具:fiddler:windows平台最受欢迎抓包工具、免费、易用charles:Mac平台下最佳抓包工具,易于使用,收费软件,可以一直使用wireShark:老牌抓包工具,跨...
548 0
|
网络安全
[工具使用]之NMAP(下)
[工具使用]之NMAP
148 0
 [工具使用]之NMAP(下)