Wireshark的简单使用

Posted lfri

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Wireshark的简单使用相关的知识,希望对你有一定的参考价值。

TCP包

先看一下Wireshark抓到的TCP的包对应的协议层:

技术图片

  • Frame:对应是物理层,主要是传输bit流。
  • Ethernet:数据链路层,传输数据帧,二层通信主要是通过mac地址。
  • Internet:网络层,传送数据包, 互联网层IP包头部信息,这一层通过抓包能够知道源IP和目的IP
  • Transmission:传输层,主要传送分组,传输层中的TCP、UDP协议
  • Hypertext:应用层,常用的HTTP、SMTP、FTP等协议

进一步,可以查看TCP报文的详细内容:

技术图片

 

 过滤方法

在wireshark的过滤规则框Filter中输入过滤条件。

1. 过滤源ip、目的ip

如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1;

2. 端口过滤

如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包

3. 协议过滤

比较简单,直接在Filter框中直接输入协议名即可,如过滤HTTP的协议

4. http模式过滤

如过滤get包,http.request.method=="GET",过滤post包,http.request.method=="POST"

5. 运算符的使用

可以使用与(&&)、或(||)、非(!)三种逻辑运算符。

例如,使用and连接,过滤ip为192.168.101.8并且为http协议的,ip.src==192.168.101.8 and http。

 除此之外,还有一个有用的方法,即了解背景颜色的含义:可以在 视图-->着色规则 进行查看和自定义。

6. 显示器过滤

ip.addr==192.168.5.6,只显示192.168.5.6这个地址相关数据包

frame.len<=128,只查看长度小于128字节的数据包

 

参考链接:

1. https://www.jianshu.com/p/afa438cb7d73

2. https://www.cnblogs.com/nmap/p/6291683.html

以上是关于Wireshark的简单使用的主要内容,如果未能解决你的问题,请参考以下文章

wireshark软件简单使用

Wireshark的简单使用

wireshark抓包新手使用教程(转)

一站式学习Wireshark第九章

wireshark 还是很简单滴

用Wireshark简单分析HTTP通信