首页 > 其他分享 >Wireshark的使用(抓包、过滤器)

Wireshark的使用(抓包、过滤器)

时间:2022-12-25 17:31:25浏览次数:76  
标签:src 封包 dst tcp 过滤器 port 抓包 Wireshark

1 Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可po jie局域网内QQ、邮箱、msn、账号等的密码!!    wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。 在成功运行Wireshark之后,我们就可以进入下一步,更进一步了解这个强大的工具。下面是一张地址为192.168.1.2的计算机正在访问“​​openmaniak.com​​”网站时的截图。

Wireshark的使用(抓包、过滤器)_IP

2 MENUS(菜单)

Wireshark的使用(抓包、过滤器)_Wireshark_02

3 SHORTCUTS(快捷方式)

Wireshark的使用(抓包、过滤器)_IP_03

4 DISPLAY FILTER(显示过滤器)

Wireshark的使用(抓包、过滤器)_Wireshark_04

5 PACKET LIST PANE(封包列表)

Wireshark的使用(抓包、过滤器)_封包_05

6 PACKET DETAILS PANE(封包详细信息)

Wireshark的使用(抓包、过滤器)_Wireshark_06

7 DISSECTOR PANE(16进制数据)

Wireshark的使用(抓包、过滤器)_Wireshark_07

8 MISCELLANOUS(杂项)

Wireshark的使用(抓包、过滤器)_封包_08

Wireshark的使用(抓包、过滤器)_Wireshark_09

9 捕捉过滤器

捕捉过滤器的语法与其它使用Lipcap(Linux)或者Winpcap(Windows)库开发的软件一样,比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕,这一点跟显示过滤器是不同的。设置捕捉过滤器的步骤是:- 选择 capture -> options。- 填写"capture filter"栏或者点击"capture filter"按钮为您的过滤器起一个名字并保存,以便在今后的捕捉中继续使用这个过滤器。- 点击开始(Start)进行捕捉。

Wireshark的使用(抓包、过滤器)_封包_10

  1. 语法:

ProtocolDirectionHost(s)ValueLogical OperationsOther expression

例子:tcpdst10.1.1.180andtcp dst 10.2.2.2 3128

Protocol(协议):可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果没有特别指明是什么协议,则默认使用所有支持的协议。Direction(方向):可能的值: src, dst, src and dst, src or dst如果没有特别指明来源或目的地,则默认使用 "src or dst" 作为关键字。例如,"host 10.2.2.2"与"src or dst host 10.2.2.2"是一样的。Host(s):可能的值: net, port, host, portrange.如果没有指定此值,则默认使用"host"关键字。例如,"src 10.1.1.1"与"src host 10.1.1.1"相同。 Logical Operations(逻辑运算):可能的值:not, and, or.否("not")具有最高的优先级。或("or")和与("and")具有相同的优先级,运算时从左至右进行。例如,"not tcp port 3128 and tcp port 23"与"(not tcp port 3128) and tcp port 23"相同。"not tcp port 3128 and tcp port 23"与"not (tcp port 3128 and tcp port 23)"不同。

  1. 例子:

tcp dst port 3128

显示目的TCP端口为3128的封包。

ip src host 10.1.1.1

显示来源IP地址为10.1.1.1的封包。

host 10.1.2.3

显示目的或来源IP地址为10.1.2.3的封包。

src portrange 2000-2500

显示来源为UDP或TCP,并且端口号在2000至2500范围内的封包。

not imcp

显示除了icmp以外的所有封包。(icmp通常被ping工具使用)

src host 10.7.2.12 and not dst net 10.200.0.0/16

显示来源IP地址为10.7.2.12,但目的地不是10.200.0.0/16的封包。

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16,目的地TCP端口号在200至10000之间,并且目的位于网络10.0.0.0/8内的所有封包。

  1. 注意事项:当使用关键字作为值时,需使用反斜杠“\”。"ether proto \ip" (与关键字"ip"相同).这样写将会以IP协议作为目标。"ip proto \icmp" (与关键字"icmp"相同).这样写将会以ping工具常用的icmp作为目标。可以在"ip"或"ether"后面使用"multicast"及"broadcast"关键字。当您想排除广播请求时,"no broadcast"就会非常有用。查看 TCPdump的主页以获得更详细的捕捉过滤器语法说明。在Wiki Wireshark website上可以找到更多捕捉过滤器的例子。

  1. 2. 显示过滤器:通常经过捕捉过滤器过滤后的数据还是很复杂。此时您可以使用显示过滤器进行更加细致的查找。它的功能比捕捉过滤器更为强大,而且在您想修改过滤器条件时,并不需要重新捕捉一次。

语法:Protocol.String 1.String 2ComparisonoperatorValueLogicalOperationsOtherexpression

例子:ftppassiveip==10.2.3.4xoricmp.type

Protocol(协议):您可以使用大量位于OSI模型第2至7层的协议。点击"Expression..."按钮后,您可以看到它们。比如:IP,TCP,DNS,SSH

  1. 您同样可以在如下所示位置找到所支持的协议:

Wireshark的使用(抓包、过滤器)_封包_11

  1. Wireshark的网站提供了对各种 协议以及它们子类的说明。 String1, String2 (可选项):协议的子类。点击相关父类旁的"+"号,然后选择其子类。

Wireshark的使用(抓包、过滤器)_封包_12

  1. Comparison operators (比较运算符):

Wireshark的使用(抓包、过滤器)_封包_13


标签:src,封包,dst,tcp,过滤器,port,抓包,Wireshark
From: https://blog.51cto.com/u_15867943/5968232

相关文章

  • 监听器与过滤器保姆级解析
    「本文已参与好文召集令活动,点击查看:后端、大前端双赛道投稿,2万元奖池等你挑战!」一、过滤器概述1.1、什么是过滤器    Filter过滤器它是JavaWeb的三大组件之一。......
  • Vue过滤器
     过滤器         定义:对要显示的数据进行特定格式化后再显示(适用于一些简单逻辑的处理)。        语法:         ......
  • 1005.Django自定义过滤器及标签
    一、关于自定义自定义的引入内置函数--------->自定义函数内置模块--------->自定义模板内置过滤器------>自定义过滤器内置标签--------->自定义标签二、文件路径配......
  • 《wireshark网络分析的艺术》总结
    《wireshark网络分析的艺术》《linux为什么卡住了?》现象:ssh登陆某些linux服务器时,输完用户名会卡住10秒抓包分析:发现linux服务器会向dns服务器进行进行反向解析(进行2......
  • Fiddler抓包教程 超详细
    ​​《吐血整理》保姆级系列教程-玩转Fiddler抓包教程(1)-HTTP和HTTPS基础知识​​​​《吐血整理》保姆级系列教程-玩转Fiddler抓包教程(2)-初识Fiddler让你理性认识一下​......
  • 过滤器、拦截器、AOP、ControllerAdvcie的使用对比、执行顺序及代码教程
    持续创作,加速成长!这是我参与「掘金日新计划·10月更文挑战」的第12天,点击查看活动详情前言本文适合有一定基础的同学,在已有的认识基础上对这四块的知识做一个总体的......
  • Filter过滤器
    Filter过滤器Filter是什么?filter也称之为过滤器,它是javaWeb三大组件之一(Servlet程序、Listener监听器、Filter过滤器)为什么需要Filter?解决一些复用代码把Servl......
  • SpringMvc 之异常,前端结合,过滤器
      SpringMvc中出现异常的位置主要有以下地方: 所以在很多地方都会出现异常,所以对于异常,一个集中出来处理,因此要创建异常处理器类,来集中处理异常,其内部是Aop思想,......
  • 过滤器 Filter 与 拦截器 Interceptor 的区别
    引言说起Filter与Interceptor的区别,相信很多同学第一感觉就是容易、简单!毕竟开发中这两个组件使用频率较高,用法也较简单。然后真回答起来有答不出个所以然来,场面尴......
  • Charles抓包工具详解
    学习Charles能做什么:能够用charles分析前后端问题能够使用charles模拟弱网测试环境能够使用charles断点构建异常的测试环境Charles简介1.Charles是什么?Charles基于......