(此篇内容尚存问题)Wireshark 网络抓包

  1. 简介
  2. 快速开始
  3. 过滤器
  4. 抓包过滤器
  5. 显示过滤器
  6. 数据包怎么看?
  7. 其他功能

简介

Wireshark是一个网络数据包分析软件。

原理是 使用WinPCAP作为接口,直接与网卡进行数据报文交换

网络管理员用它来检测网络问题;

网络安全工程师用它来检查安全相关;

开发者用它来为新的通信协义排错;

普通使用者用它来学习网络协议的知识;

“居心叵测”的人用它来寻找一些敏感信息…

相对于 TCPdump 来说,W更友好,功能更强大。

Wireshark不能做的

为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。

Wireshark VS Fiddler

Fiddler是在windows上运行的程序,专门用来捕获HTTP,HTTPS的。

wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容

总结,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark

官网下载

快速开始

双击打开,下图是主界面,两个大块注意下即可

我们鼠标移动到网卡上,会出现网卡详情信息,选择一张测试网卡,双击进入

此时是会发现,程序已经开始抓包了

过滤器

初学者使用 Wireshark 时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种:

  • 显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录

  • 捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。

开始实验

1、打开cmd,开始ping www.baidu.com

2、设置 显示器过滤条件 ,把百度的数据包都过滤出来~

3、下面我们深入掌握下这两种过滤器

抓包过滤器

开始抓包前配置过滤器

协议过滤

比较简单,直接在抓包过滤框中直接输入协议名即可。

TCP,只显示TCP协议的数据包列表

HTTP,只查看HTTP协议的数据包列表

ICMP,只显示ICMP协议的数据包列表

IP过滤

host 192.168.1.104

src host 192.168.1.104

dst host 192.168.1.104

端口过滤

port 80

src port 80

dst port 80

逻辑运算符(&&、||、!):

src host 192.168.1.104 && dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包

host 192.168.1.104 || host 192.168.1.102抓取主机为192.168.1.104或者192.168.1.102的数据包

!broadcast不抓取广播数据包

显示过滤器

注意了,这位置是显示过滤器!!!!

协议过滤(icmp、http、tcp):

  • 只查看HTTP协议http

  • 只显示TCP协议tcp

比较操作符(== 、!=、>、<、>=、<=) :

  • src host 192.168.1.104 && dst port 80

  • src host 192.168.1.104 || dst port 80

IP 过滤(src、dst、addr):

  • 过滤 源地址

ip.src ==192.168.1.104

  • 过滤 目标地址

ip.dst==192.168.1.104

  • 过滤 目标地址 或 源地址

ip.addr == 192.168.1.104

端口过滤(port、srcport、dstport):

  • tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。

  • tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。

  • tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表。

Http模式过滤

  • http.request.method=="GET",只显示HTTP GET方法的。

逻辑运算符(and/or/not):

  • tcp.port ==80 and http.request.method=="GET"

按照数据包内容过滤

  • data contains “夏”

鼠标选择过滤

在整个界面中,你都可以通过 右键->作为过滤器应用->选中 建立针对此块区域中内容的过滤

数据包怎么看?

我们习惯了浏览器F12的控制台调试,那么wireshark中怎么看request和response呢?

选择一条抓包信息,右键 -> 追踪流 -> HTTP流

此时弹出来的界面就很熟悉了!

浏览器请求 html 文件,在 f12 里是 request 和 response

在抓包程序里,是两条数据,一条出去,一条进来

其他功能

借助 wireshark 提取视频流

借助 wireshark 查看视频丢包率

GB28181 借助 wireshark 提取视频流


转载请注明来源。 欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。 可以在下面评论区评论,也可以邮件至 sharlot2050@foxmail.com。

文章标题:(此篇内容尚存问题)Wireshark 网络抓包

字数:1.1k

本文作者:夏来风

发布时间:2020-07-08, 22:17:10

原始链接:http://www.demo1024.com/blog/wireshark/

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。