网络抓包--Wireshark

Wireshark

是一款非常棒的Unix和Windows上的开源网络协议分析器。它可以实时检测网络通讯数据，也可以检测其抓取的网络通讯数据快照文件。可以通过图形界面浏览这些数据，可以查看网络通讯数据包中每一层的详细内容。Wireshark拥 有许多强大的特性：包含有强显示过滤器语言（rich display filter language）和查看TCP会话重构流的能力；它更支持上百种协议和媒体类型；拥有一个类似tcpdump（一个Linux下的网络协议分析工具）的 名为tethereal的的命令行版本。

官方网址：http://www.wireshark.org/

1.Linux系统下安装

安装:过apt-get install wireshark

方法一：sudo dumpcap来抓取数据包，抓的包放在/tmp/目录下

然后使用普通方式打开wireshark，打开刚才抓到的包，然后做分析。

方法二：重新配置wireshark的安装。

sudo dpkg-reconfigure wireshark-common，在弹出来的对话中选择yes

sudo wireshark

此时打开的wireshark就可以capture数据包了。

2.网络抓包

Wireshark是网络包分析工具。主要作用是尝试捕获网络包，并显示包的尽可能详细的情况。包括http,TCP,UDP，等网络协议包。

注：wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

1.使用：

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包

2.窗口介绍

主要分为这几个界面：

1. Display Filter(显示过滤器)，  用于过滤

2. Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表

3. Packet Details Pane(封包详细信息), 显示封包中的字段

4. Dissector Pane(16进制数据)

5. Miscellanous(地址栏，杂项)

3.过滤器使用

使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。

过滤器有两种，

一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录

一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。 在Capture -> Capture Filters 中设置

Protocol（协议）:
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果没有特别指明是什么协议，则默认使用所有支持的协议。

Direction（方向）:
可能的值: src, dst, src and dst, src or dst
如果没有特别指明来源或目的地，则默认使用 “src or dst” 作为关键字。
例如，”host 10.2.2.2″与”src or dst host 10.2.2.2″是一样的。

Host(s):
可能的值： net, port, host, portrange.
如果没有指定此值，则默认使用”host”关键字。
例如，”src 10.1.1.1″与”src host 10.1.1.1″相同。

Logical Operations（逻辑运算）:
可能的值：not, and, or.
否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至右进行。
例如，
“not tcp port 3128 and tcp port 23″与”(not tcp port 3128) and tcp port 23″相同。
“not tcp port 3128 and tcp port 23″与”not (tcp port 3128 and tcp port 23)”不同。

例子：

tcp dst port 3128          //捕捉目的TCP端口为3128的封包。
ip src host 10.1.1.1       //捕捉来源IP地址为10.1.1.1的封包。
host 10.1.2.3              //捕捉目的或来源IP地址为10.1.2.3的封包。
ether host e0-05-c5-44-b1-3c     //捕捉目的或来源MAC地址为e0-05-c5-44-b1-3c的封包。如果你想抓本机与所有外网通讯的数据包时，可以将这里的mac地址换成路由的mac地址即可。
src portrange 2000-2500           //捕捉来源为UDP或TCP，并且端口号在2000至2500范围内的封包。
not imcp                                   //显示除了icmp以外的所有封包。（icmp通常被ping工具使用）
src host 10.7.2.12 and not dst net 10.200.0.0/16      //显示来源IP地址为10.7.2.12，但目的地不是10.200.0.0/16的封包。
(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

//捕捉来源IP为10.4.1.12或者来源网络为10.6.0.0/16，目的地TCP端口号在200至10000之间，并且目的位于网络 10.0.0.0/8内的所有封包。
src net 192.168.0.0/24 
src net 192.168.0.0 mask 255.255.255.0  //捕捉源地址为192.168.0.0网络内的所有封包。

http.request.method=="GET"       //捕捉Http协议GET请求

http.request.method=="POST"      //捕捉Http协议POST请求

参考资料：

1. http://openmaniak.com/cn/wireshark_filters.php

2.http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html