wireshark 软件是一款抓包工具,适用于Windows、Linux系统;它能直接与网卡进行数据报文交换。其功能是网络封包分析,即撷取网络封包,并尽可能显示出最为详细的网络封包资料。
1.安装
1)添加wireshark 下载链接地址,然后更新软件源
sudo apt-add-repository ppa:wireshark-dev/stable
sudo apt-get update
2)在命令行安装wireshark
sudo apt-get install wireshark
安装过程选择yes,非root用户也能抓包
3)后续配置,新建wireshark 用户组,把当前用户加入wireshark 用户组
sudo groupadd wireshark
sudo chgrp wireshark /usr/bin/dumpcap
sudo chmod 4755 /usr/bin/dumpcap
sudo gpasswd -a your_username wireshark
第一条命令是 新建wireshark 用户组,二、三条命令是配置和添加权限。第四条命令中的your_username 是当前系统的用户名。
在命令窗口输入:wireshark 就可以打开; 然后选择名为enp2s0网卡
2.开始抓包
1)首先确认我们的设备连接到那个网卡(网口)、或WiFi,使用 ifconfig 命令进行查询
2)在命令窗口输入:wireshark 就可以打开; 然后选择名为enp0s25网卡,或any
双击进入
No.是包的编号,Time是从开始抓包起的时间,Source是指发送者ip,Destination就是接收者ip,Protocol就是传输协议(例如arp、tcp、udp、http、http2,http2指https),Length是指包的长度,Info就是一些相关的信息
但是包这么多,我怎么找到我想要看的包呢?使用Filter
例如ip.addr == 195.181.173.159,就是保留195.181.173.159的包,它作为发送者或接受者均可
ip.src指发送者,ip.dst指接受者
可选项
单独的协议名控制协议类型,如tcp、udp、http
使用and和or进行逻辑运算,运算优先级为
例如ip.addr ==195.181.173.159 and udp就是保留195.181.173.159建立的udp连接
ip.addr == 195.181.173.159 and (http or http2)就是195.181.173.159浏览的网页
如果你输入的Filter语法正确,输入框会呈绿色,否则呈红色,之后,不要忘了点击右侧蓝色箭头,点击后箭头变灰
注意:请不要用localhost(报错)和127.0.0.1得不到任何包,所有ip地址都是内网通用的ip,抓到包并过滤后,中间一栏和下面一栏就是关于包的信息
参考文献:
1.ubuntu16 安装wireshark(抓包工具)
2.wireshark如何对指定ip进行嗅探
3.Linux系统安装wireshark