Wireshark基础

Wireshark基础

wireshark简介：

wireshark是一款用于追踪网络流量的辅助工具，帮助捕获、分析网络封包，并进行分析。

主要功能：

    1.网络分析任务

        查看网络中通信的情况、查看主机与其他设备的数据交互，无人值守时捕获网络数据，分析网络协议等。

    2.故障排除任务

        查找网络延迟原因，查找应用程序通信错误原因，查看网络配置错误等。

    3.安全取证任务

        在网络流量中查找攻击者信息，确定攻击手段与攻击路径，确定安全成果等。

 

wireshark使用:

wireshark的List面板里又7个信息，分别为：

NO:数据包编号

Time:相对时间

Source:原地址

Destination:目的地址

Protocol:协议类型

Length:长度

Info:摘要信息

数据包格式:

Details

Details 面板展示了此数据包的细节信息，从上到下依次是

Frame:数据帧头部信息

Ethernet II :数据链路层的数据帧(以太网)头部信息

Transmission Control Protocol:传输层的数据段(TCP)头部信息

Hypertext Transfer Protocol:应用层（HTTP）信息

过滤器

Wireshark是网络流量分析软件，在计算机中的网络流量是十分庞大的，这些流量也需要缓存或者保存下来，所以第一步捕获所需要的流量，进一步丢弃无用的流量。

对流量的捕获首先需要确定是使用哪个网卡的接口，一般来说计算机具有有线网卡和无线网卡，服务器也具备多个网卡，选择正确的网卡才可以进一步捕获我们想要的流量。

选择捕获接口的时候可以按住Ctrl进行多个捕获

捕获过滤器语法

根据MAC筛选

捕获单个MAC :ether host 00:00:5e:00:53:00

捕获源/目的MAC:eter src/dst 00:00:5e:00:53:00

排除MAC: not ether host 00:00:5e:00:53:

根据IP筛选

捕获单个IPV4:host 192.168.111.51

捕获单个IPV6:host fe80::69f8:8a72:6a7a:f68

排除单个IP:not host 192.168.111.51

捕获源/目的地址：src/dst host 192.168.1.1

捕获单个域名：host www.sangfor.com.cn

复杂条件:host 192.168.111.51 or host www.baidu.com

显示过滤器

通过设置捕获过滤器，可以丢弃无用的包，但是我们有时候需要通过设置显示过滤器，来查看指定的数据包

显示过滤器语法

按照特定字段进行过滤，协议或应用后面输入符号“.”,可根据提示信息输入

红色：语法错误

绿色：语法正确

黄色：语法正确，也可能无结果

语法：

指定IP地址：ip.addr == 192.168.28.132

指定源IP地址: ip.src == 192.168.28.132

指定目的IP地址: ip.dst == 192.168.28.132

tcp端口不为80: tcp.srcport !=80

tcp端口不小于1024:tcp.srcport <1024

逻辑运算符：

1.与-->&&-->and

2.或-->|| ---> or

3.异或-->^^-->xor

4.非--->!--->not

ip.addr == 192.168.111.51 and http contains POST

#所有http请求中以GET形式的

http.request.method == GET

其他的过滤手法：