? WireShark 是一种可以运行在 Windows,UNIX,Linux 等操作系统上的分组分析器。
? 运行Wireshark,需要有一台支持Wireshark和libpcap或WinPCap分组捕获库的计算机。
? 安装Wireshark时,如果操作系统中未安装libpcap软件,它将会自动安装。
Wireshark(前称Ethereal)是一个网络封包分析软件。功能是
撷取网络封包,并尽可能显示出最为详细的网络封包资料。
Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交
换
wireshark工作流程
?(1)确定Wireshark的位置。如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕
获一些与自己无关的数据。
?(2)选择捕获接口。一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的
数据。否则,捕获到的其它数据对自己也没有任何帮助。
?(3)使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析
数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。
?(4)使用显示过滤器。通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数
据包再更细致,此时使用显示过滤器进行过滤。
?(5)使用着色规则。通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出
的显示某个会话,可以使用着色规则高亮显示。
?(6)构建图表。如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的形式可以
很方便的展现数据分布情况。
?(7)重组数据。Wireshark的重组功能,可以重组一个会话中不同数据包的信息,或者是一个
重组一个完整的图片或文件。由于传输的文件往往较大,所以信息分布在多个数据包中。为了能
够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现。
? Display Filter(显示过滤器), 用于过滤
? Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地
址,端口号。
? Packet Details Pane(封包详细信息), 显示封包中的字段
? Dissector Pane(16进制数据) ? Miscellanous(地址栏,杂项)
Wireshark过滤器
? 使用Wireshark时最常见的问题,是使用默认设置时,会得到大量冗余信息,以至于很难找到自己需要的部分。这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。
?捕捉过滤器:用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。
?显示过滤器:在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。
? 两种过滤器的目的是不同的。
?捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。
?显示过滤器是一种更为强大(复杂)的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。
捕捉过滤器
显示过滤器
表达式规则
- 协议过滤
比如TCP,只显示TCP协议。 - IP 过滤
比如 ip.src 192.168.1.102 显示源地址为192.168.1.102,
ip.dst192.168.1.102, 目标地址为192.168.1.102 - 端口过滤
Tcp.port ==80, 端口为80的
tcp.srcport == 80, 只显示TCP协议的愿端口为80的。 - Http模式过滤
http.request.method==“GET”, 只显示HTTP GET方法的。 - 逻辑运算符为 AND/OR
推荐文章https://blog.csdn.net/whoim_i/article/details/104356572