wireshark网络分析器的学习使用
————
一、下载安装
官网下载匹配版本即可
官网:https://www.wireshark.org/download.html
得到安装包正常安装完成即可。
————
————
二、wireshark 界面的基本认识与操作。
一打开wireshark是这样的,首先要选择一张网卡就行抓包。
我这里是连的WiFi,就双击 WLAN 即可开始捕获数据包。
然后就会进入抓包界面。
刚一接触这个工具,看到这个界面会觉得特别繁杂,各种数字字符,不知道是什么东西。
这里就一个部分一个部分地进行认识了。
首先最上面的菜单栏能够进行文件操作,编辑数据包,捕获数据包设置等操作。
往下的工具栏可以进行开始捕获和停止捕获数据包,以及数据包的保存、关闭与重新加载。
界面看到很多种不同的颜色,在工具栏也可设置不同种类数据包的不同颜色。
有几个放大镜模样的图标可对文本进行放大或缩小。
再就是数据包显示过滤栏,即对所捕获的数据包进行过滤,只差看想要看到的数据包种类。
然后是中间的数据包列表区,每一行就是一个数据包。
下面的是数据包详细区,在数据包列表区选中某一行的数据包,这里详细区就会出现这一个数据包的详细信息。
往下的数据包字节区,对应与上面一栏某一个数据包详细信息的字节信息。
最后是最底下的数据包统计区,统计了目前抓包的总数量,以及是否丢包的信息。
————
————
三、界面各部分的基本操作与使用
————
1、菜单栏
文件操作:打开某个数据包文件,wireshark 数据包文件一般为 .pcapng 文件。
合并,即合并多个文件为一个 .pcapng 文件,比如两个文件里分别有50个数据包(数据包列表区有50行),合并为一个数据包文件,里面就有100个数据包。
导出:把目前打开的这个文件中某些数据包进行导出为另一个文件,“导出分组解析结果”指导出不同格式的文件,有纯文本、“CSV”格式等。
视图: 看到主工具栏、过滤栏等选项打了勾,就是在wireshark 界面中可以看到的区域
————
2、过滤器
分有抓包过滤器和显示过滤器。
————
(1)、抓包过滤
抓包过滤器,是在抓包前设置好,只抓取哪些需要的数据包,比如只捕获协议为 http 的数据包。
在捕获一栏中可找到捕获过滤器进行设置。
可进行添加或删除过滤条件。
抓包过滤规则:
类型type:host、net、post
方向dir:src、dst
协议proto:either、ip、tcp、http、ftp
逻辑运算符:&&(与)、||(或)、!(非)
一些例子:
过滤mac地址:
ether host 00:88:ca:86:f8:0d
ether src host 00:88:ca:86:f8:0d
ether dst host 00:88:ca:86:f8:0d
过滤IP地址:
host 192.168.1.1
src host 192.168.1.1
dst host 192.168.1.1
过滤端口:
port 80
!port 80
src port 80
dst port 80
过滤协议:
arp
icmp
src host 192.168.1.1 && dst port 80 (抓取源地址为192.168.1.1,目标为80端口的流量)
!broadcast (不抓取广播包)
————
(2)、显示过滤
显示过滤器,是前面提到的主界面中的一栏,在已有的数据包中只查看哪些,便于观察数据包,去掉查看的过滤条件后就会重新显示所有数据包。
显示过滤规则:
比较操作符:
!=(不等于)
>(大于)
<
>=
<=
逻辑操作符:
and(两个条件同时满足)
or(其中一个满足)
xor(有且仅有一个满足)
not(没有条件满足)
IP地址:
ip,addr
ip.src
ip.dst
端口:
tcp.port
tcp.srcport
tcp.dstport
tcp.flag.syn
协议:
arp
ip
icmp
tcp
bootp
dns
例子:
过滤IP:
ip.addr == 192.168.1.1
ip.src == 192.168.1.1
ip.dst == 192.168.1.1
ip.src == 192.168.1.1 and ip.dst == 192.168.3.2
过滤端口:
tcp.port == 80
tcp.srcport == 80
tcp.dstport == 80
tcp.flag.syn == 1
过滤协议:
arp
tcp
ucp
not http
not arp
ip.src == 192.168.1.1 and tcp.dstport == 80
ip.addr == 192.168.1.1 and udp.port == 4000
————
3、数据包列表区
其中有几个默认的列信息。
而这些列信息也只是每个数据包的部分信息,在下一栏的数据包详细区都可以找到
如果要除去某一列详细,可以右键某一列,点击 remove this column 除去这个列信息的显示。
也可以点击 edit column 编辑列信息,会在上方多出一栏编辑框,比如把 列信息 source 的标题名字改掉。
要增加某条列信息可在数据包详细区右键数据包的某条信息,点击“应用为列”。
这里我演示的是 Time to live(TTL)应用为列信息。
可以看到列表区就多了一列 TTL 数据包存活时间的信息。
No..:每个数据包的序号,第一个第几个包,可以作为数据包捕获先后的依据。
Time:时间,捕获这一个数据包的时间。但是显示的格式0.000000 并不是我们常见的,可以在视图栏选中时间显示格式为第一条“日期和时间”。
可以看到格式改变了。
source :这个数据包的源地址,即发送这个数据包的IP。
destination:这个数据包的目标地址,即接收这个数据包的IP。
protpcol:这个数据包的协议,比如dns、http等。
length:这个数据包的长度。
info:数据包的信息。
————
4、数据包详细区
Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP
Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议