wireshark学习记录1 基本操作
Posted 玛卡巴卡巴巴亚卡
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了wireshark学习记录1 基本操作相关的知识,希望对你有一定的参考价值。
一、面板
二、筛选器 filter
1、筛选指定ip地址和指定端口号的数据包
- ip.addr==192.168.0.102 and tcp.prot==80
2、筛选非txp协议的数据包
- !tcp
3、筛选长度小于150的数据包
- frame.len<=150
4、捕获带有PSH和ACK标志的数据包:
- tcp[13]==0x18
三、图形显示
1、I/O gragh
2、往返时间绘图
统计——tcp流图形——往返时间
3、流量图
统计——流量图
四、wireshark高级特性
1、设置解析规则
一般用SSL协议传输的,是不能看到明文传输的数据流量(用户名密码)
如下图应该是个FTP数据包
导致如下图解析错误的原因,是因为使用的端口号是443(HTTPS专用端口)
这时需要强制使用FTP来解析数据包
右键——decode as,就可以使所有在443的端口与都用FTP协议解析
2、追踪流
右键——追踪流——TCP流
3、数据包长度
统计——分组长度
对捕获信息做一个概览
重点关注1280-2559长度的数据包,一般是用于数据传输。小长度数据包一般是控制命令。
4、专家信息
查看对使用指定协议的数据包的特定状态的信息
分析——专家信息
五、wireshark命令行模式
主要使用tshark.exe辅助分析,在linux操作系统中
-r 文件地址
grep -e 包含关键字
https://blog.csdn.net/cpongo3/article/details/93995895
以上是关于wireshark学习记录1 基本操作的主要内容,如果未能解决你的问题,请参考以下文章