WireShark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。

WireShark界面简介

  • 启动WireShark的界面如下:

  • 选择网卡

    wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。

    点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包。

  • 窗口的主要组成部分

    • Display Filter(显示过滤器),  用于过滤
    • Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表
    • Packet Details Pane(封包详细信息), 显示封包中的字段
    • Dissector Pane(16进制数据)
    • Miscellanous(地址栏,杂项)
  • 抓取包对应的OSI七层模型

  • 抓取的TCP包的具体内容

  • 封包详细信息

    封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。 你可以看到不同的协议用了不同的颜色显示。
    你也可以修改这些显示颜色的规则,  View ->Coloring Rules.


wireshark过滤语法总结

wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤:

  • 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如

    tcp.port==53
    http.request.method=="GET"
  • 对内容的过滤,既支持深度的字符串匹配过滤如http contains "Server",也支持特定偏移处值的匹配过滤如
    tcp[20:3] == 47:45:54

wireshark有两种过滤器:

  • 捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中。
  • 显示过滤器(DisplayFilters):用于在捕捉结果中进行详细查找。

捕捉过滤器在抓抱前进行设置,决定抓取怎样的数据;显示过滤器用于过滤抓包数据,方便stream的追踪和排查。捕捉过滤器仅支持协议过滤,显示过滤器既支持协议过滤也支持内容过滤。两种过滤器它们支持的过滤语法并不一样。
下面来详细学习两种过滤器

  • 捕捉过滤器--捕捉前依据协议的相关信息进行过滤设置
    1. 语法

      Protocol Direction Host(s) Value Logical Operations Other expression
    2. 字段详解
      • Protocol(协议):
        可能值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
        如果没指明协议类型,则默认为捕捉所有支持的协议。
        注:在wireshark的HELP-Manual Pages-Wireshark Filter中查到其支持的协议。
      • Direction(方向):
        可能值: src, dst, src and dst, src or dst
        如果没指明方向,则默认使用 “src or dst” 作为关键字。
        ”host 10.2.2.2″与”src or dst host 10.2.2.2″等价。
      • Host(s):
        可能值: net, port, host, portrange.
        默认使用”host”关键字,”src 10.1.1.1″与”src host 10.1.1.1″等价。
      • Logical Operations(逻辑运算):
        可能值:not, and, or.
        否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级,运算时从左至右进行。
        “not tcp port 3128 and tcp port 23″与”(not tcp port 3128) and tcp port 23″等价。
        “not tcp port 3128 and tcp port 23″与”not (tcp port 3128 and tcp port 23)”不等价。
    3. 示例
      (host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

      表示:捕捉IP为10.4.1.12或者源IP位于网络10.6.0.0/16,目的IP的TCP端口号在200至10000之间,并且目的IP位于网络 10.0.0.0/8内的所有封包。

  • 显示过滤器--对捕捉到的数据包依据协议或包的内容进行过滤
    • 协议过滤
    1. 语法

      Protocol.String1.String2 Comparison operator Value LogicalOperations Otherexpression

      string1和string2是可选的。依据协议过滤时,可直接通过协议来进行过滤,也能依据协议的属性值进行过滤。

    2. 示例
      //按协议进行过滤
      snmp || dns || icmp //显示SNMP或DNS或ICMP封包。 //按协议的属性值进行过滤
      ip.addr == 10.1.1.1
      ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
      ip.src == 10.230.0.0/16 //显示来自10.230网段的封包。
      tcp.port == 25 //显示来源或目的TCP端口号为25的封包。
      tcp.dstport == 25 //显示目的TCP端口号为25的封包。
      http.request.method== "POST" //显示post请求方式的http封包。
      http.host == "tracker.1ting.com" //显示请求的域名为tracker.1ting.com的http封包。
      tcp.flags.syn == 0×02 //显示包含TCP SYN标志的封包。
  • 内容过滤
    1. 深度字符串匹配
      使用contains:Does the protocol, field or slice contain a value
      示例

      //显示payload中包含"http"字符串的tcp封包。
      tcp contains "http"
      //显示请求的uri包含"online"的http封包。
      http.request.uri contains "online"
    2. 特定偏移处值的过滤
      //16进制形式,tcp头部一般是20字节,所以这个是对payload的前三个字节进行过滤
      tcp[20:3] == 47:45:54
      http.host[0:4] == "trac"
    3. 过滤中函数的使用(upper、lower)

      upper(string-field) - converts a string field to uppercase
      lower(string-field) - converts a string field to lowercase

      示例

      upper(http.request.uri) contains "ONLINE"

wireshark过滤支持比较运算符、逻辑运算符,内容过滤时还能使用位运算。 如果过滤器的语法是正确的,表达式的背景呈绿色。如果呈红色,说明表达式有误。

PS:

今天总结完这篇使用手册后,写了一个捕获过滤器:

tcp src host 10.9.146.113

使用"Compile selected BPFs",但WireShark老是不通过,提示错误

'tcp' modifier applied to host

一直迷惑不解,我是按照语法来写的,怎么编译不通过呢?!

最后各种查呀,才知道“对于tcp/udp协议只能监听端口号,而ip协议只能监听主机地址,tcp/udp位于传输层”!!

这是逼我这看TCP/IP协议呀!在查的过程中又顺带知道了有同类tcpdump工具不能用于windows),而tcpdump工具是基于libpcap。

libpcap是一个网络数据包捕获函数库,很多抓包工具都是基于它来开发的,WireShark也不例外,而在windows上WireShark是基于wincap的。

在“man tcpdump”的时候看到Expression是语法是pcap-filter,这个语法应该就是libcap的语法。

通过上面的总结,于是我决定需要看:《TCP/IP协议》、tcpdump工具、libcap。

抓包工具Wireshark的使用的更多相关文章

  1. 抓包工具Wireshark过滤器

    抓包工具WireShark分为两种过滤器: 捕捉过滤器(CaptureFilters) 显示过滤器(DisplayFilters) 捕捉过虑器语法: Protocol  Direction  Host ...

  2. socket和抓包工具wireshark

    socket和抓包工具wireshark 最近在学习Python代码中的socket和抓包工具wireshark,故又将socket等概念又学习了一遍,温故而知新: Python代码如下: serve ...

  3. 网络抓包工具-Wireshark学习资料

    wireshark一个非常牛逼的网络抓包工具.转载一系列博文 一站式学习Wireshark(一):Wireshark基本用法 一站式学习Wireshark(二):应用Wireshark观察基本网络协议 ...

  4. 学习tcpIp必备的抓包工具wireshark

    wireshark是一个优秀的抓包工具 ip.src=192.168.10.123  发送http的一端 ip.dst=192.168.10.126 接收http的一端 如下图所示:

  5. 软件测试必须掌握的抓包工具Wireshark,你会了么?

    作为软件测试工程师,大家在工作中肯定经常会用到各种抓包工具来辅助测试,比如浏览器自带的抓包工具-F12,方便又快捷:比如时下特别流行的Fiddler工具,使用各种web和APP测试的各种场景的抓包分析 ...

  6. GNS3与抓包工具Wireshark的关联

    转至:https://blog.51cto.com/xpleaf/1615145 (一)前言 本博文分享GNS3与Wireshark关联的方法. 显然现在网络上已经有类似的文章分享,而本博文旨在提供更 ...

  7. Wireshark 网络抓包工具Wireshark的使用

    阅读目录 wireshark介绍 wireshark不能做的 wireshark VS Fiddler 同类的其他工具 什么人会用到wireshark wireshark 开始抓包 wireshark ...

  8. 网络抓包工具wireshark and tcpdump 及其实现基于的libpcap

    最近无意中看到博客园中一篇介绍wireshark的文章,写得不错,它简单清楚介绍了wireshark的使用 简介 wireshark以前叫做Ethereal, 在大学时候的网络课程中就常看到它,它是世 ...

  9. 抓包工具-Wireshark(详细介绍与TCP三次握手数据分析)

    功能使用的详细介绍 wireshark(官方下载网站: http://www.wireshark.org/),是用来获取网络数据封包,可以截取各种网络封包,显示网络封包的详细信息,包括http,TCP ...

随机推荐

  1. db2 数据类型

    数据类型: 字符串类型 描述 CHARACTER(n) n bytes定长字符串. n 大于0 不大于255. 默认 1. VARCHAR(n) 变长字符串,最大 n bytes. n大于 0 小于表 ...

  2. 列表视图(ListView)和ListActivity

    ListView是手机系统中使用非常广泛的一种组件,它以垂直列表的形式显示所有列表项. 创建ListView有如下两种方式: 直接使用ListView进行创建. 让Activity继承ListActi ...

  3. 让Flash支持Stage3D

    如要需要支持Stage3D,采用GPU来渲染,需要设置wmode="direct",在FB中,对于web和air设置方法不同: 1.web: 需要在web的html模板中,添加参数 ...

  4. Bloom Filter的基本原理和变种

    学习一个东西首先要知道这个东西是什么,可以做什么,接着再了解这个东西有什么好处和优势,然后再学习他的工作原理.下面我们分别从这三点简单介绍一下bloom filter,以及和他的变种. What:在允 ...

  5. [JQuery]Jquery对象和dom对象

    jquery对象是jquery包装dom对象后产生的对象,它们都只能使用各自的方法. 1.定义变量时,通过$来区分: var $variable = jquery对象: var variable = ...

  6. [html5] 学习笔记-应用缓存与Web workers

    1.应用缓存 HTML5引入了应用缓存程序,这意味着Web应用可进行缓存,并可在没有因特网连接时访问. 应用缓存的优势: 1)离线浏览--用户可在应用离线时使用它们 2)速度--已缓存是从本地加载,加 ...

  7. 认识 getAttribute() setAttribute()

    getAttribute()方法不属于document对象,所以不能通过document对象调用,它只能通过元素节点对象调用 var paras = document.getElementsByTag ...

  8. java_XML_Dom4j

    一.DOM4j中,获得Document对象的方式有三种: 1.读取XML文件,获得document对象 SAXReader reader = new SAXReader(); Document doc ...

  9. Centos 7安装oracle 11g R2问题及解决方法汇总

    自己新博客的链接:http://www.pythonsite.com/2017/02/14/centos-7%E5%AE%89%E8%A3%85oracle-11g-r2%E9%97%AE%E9%A2 ...

  10. udp 服务器界面监听

    今天在做项目的时候,发现不同子网下是不能做UDP通信的,不知道是不是这样呢 遇到一个错误:eclipse遇到报错: The type JPEGImageEncoder is not accessibl ...