首页 > 其他分享 >wireshark---简单使用

wireshark---简单使用

时间:2022-11-05 08:44:34浏览次数:79  
标签:http log ip tcp --- 流量 简单 wireshark

wireshark---简单使用

官网: https://www.wireshark.org/

wireshark是一个很好用的流量捕获和解析工具。这里写一些简单用法。

搜索

点击 放大镜 图标,可以进行各种搜索
可以查的内容有:分组列表、分组详情、分组字节流
可以搜的方式有:过滤器、十六进制值、字符串、正则表达式

一些过滤规则

关于协议

http  # http协议
tcp   # tcp协议
tcp contains flag  # 过滤出tcp协议中包含 flag 的部分

关于端口

tcp.port == 80     # 源端口或者目的端口
tcp.srcport == 80  # 源端口
tcp.dstport == 80  # 目的端口

关于ip

ip.addr == 192.168.0.37  # 源ip或者目的ip
ip.src == 192.168.0.37   # 源ip
ip.dst == 192.168.0.37   # 目的ip

关于http请求数据方式

http.request.method == "GET"
http.request.method == "POST"

还可以用 and 或者 or 把几条规则联系起来

导出文件

如果流量包里有文件存在的话,可以这样导出: 文件->导出对象->http
导出对象有几种选项:DICOM、HTTP、SMB、TFTP,一般用HTTP导出

文件过大时(约4M)无法识别导出,可以通过保存原始数据,用HxD手动提取的方式获取文件:

  1. 追踪流,"Show data as"选择"原始数据",另存为,这样就可以保存原始数据
  2. 使用HxD打开保存的文件,根据Content-Length等字段确定文件大小和起始位置,右键选择范围,复制粘贴到新文件即可

或者使用chaosreader(perl脚本),可以提取文件,效果很好,但没有关联文件名
https://www.brendangregg.com/chaosreader.html
最好在单独的文件夹内操作,会生成大量文件,浏览器打开index.html查看

追踪流

追踪流可以更直观地查看一些交互流量
选中一行,右键->追踪流->TCP流
追踪流有几种选项:TCP、UDP、SSL、HTTP,一般用TCP、UDP、HTTP

捕获时只保存特定流量

在选择网卡处有过滤器,可以下拉选择,举2个例子:

  1. 只捕获端口80的流量: port 80
  2. 只捕获1.2.3.4 ip的流量: host 1.2.3.4

各种示例流量包

https://wiki.wireshark.org/SampleCaptures

wireshark找不到网卡

win10的系统,打开wireshark之后只有3个USB接口,各种尝试无果
最后才知道是权限问题,只要管理员权限启动就好了,可能感谢lb吧

Wireshark解析浏览器的https流量

可以通过设置本地环境变量和Wireshark的解析方式,解密浏览器的加密流量。
仅适用浏览器流量,可以是chrome和firefox,IE不行

  1. 在本地系统环境变量中添加SSLKEYLOGFILE项,值可设为D:\key.log
  2. Wireshark中选择 编辑>首选项>Protocols>SSL>(Pre)-Master-Secret log filename项,填写刚刚设的值(即D:\key.log)
  3. 重新启动浏览器,Wireshark就可以解析捕获到的SSL加密流量(同时会生成debug.logdebug.file文件,不用关注,之后删掉即可)。

如果没有SSL协议,那就是TLS协议
不能将 SSLKEYLOGFILE 的值设置为 C:\key.log ,因为权限问题不能写入,可以是 C:\Users\hello\Desktop\key.log

原链接:http://bobao.360.cn/learning/detail/249.html


2017/9/2

标签:http,log,ip,tcp,---,流量,简单,wireshark
From: https://www.cnblogs.com/-rvy-/p/16859626.html

相关文章

  • 【网安】第一次写的简单加密程序
    教学链接:https://www.bilibili.com/video/BV1UG411L74y?p=33&vd_source=01e5c1103fb910315f88a7bdc747b3d5c语言实现的简单加密程序核心加密原理:将文件逐字符读取和密码......
  • ASP.NET Core教程-Configuration(配置)-Exception & Error Handler
    更新记录转载请注明出处:2022年11月5日发布。2022年11月5日从笔记迁移到博客。Exception开发环境异常界面在开发环境下,便于调试程序,可以引入UseDeveloperExcepti......
  • 1.3 简单用户交互
    1.3基础用户交互/*例1.3-1:基础用户交互示例*/importjava.util.Scanner; //引入javaScanner工具类publicclassScannerExample{publicstaticvoidmai......
  • 使用volatile简单实现happen-before功能
    首先解释appen-before,其作用就是保证两个操作的顺序性,特别是多线程中,确保数据的准确性,对于执行顺序会有一定的要求这里引入volatile手动设置 类似的synchronized也可......
  • JAVA语言学习-面向对象(1)
    类与对象类类是JAVA语言中重要的复合型数据类型()。类的实现包括两个部分:成员变量和成员方法("方法"可以看作是C语言中的函数)类的声明要使用类,首先得对其声明。声明......
  • 数据库设计心得-鳖在这理发店
    基于医患对话的医学提取工具1.项目简介疫情时代患者线下就诊的成本大大的提高,医生的时间成本亦大大增加;对于这些问题,现提出一小程序,为医生线上看诊提供症状诊断,智能医疗......
  • 自动化利器 Ansible - 从了解到应用
    本文说明本系列使用ansible2.9.27版本来说明和汇总相关信息。#cat/etc/system-releaseRedHatEnterpriseLinuxServerrelease7.8(Maipo)##uname-aLinu......
  • 2022-2023-1 20221302《计算机基础与程序设计》第十周学习总结
    作业信息这个作业属于那个班级 https://edu.cnblogs.com/campus/besti/2022-2023-1-CFAP作业要求  https://www.cnblogs.com/rocedu/p/9577842.html#WEEK10作业目标......
  • Python中利用长短期记忆模型LSTM进行时间序列预测分析 - 预测电力负荷数据|附代码数据
    原文链接:http://tecdat.cn/?p=6663此示例中,神经网络用于使用2011年4月至2013年2月期间的数据预测公民办公室的电力消耗(点击文末“阅读原文”获取完整代码数据)。每日数......
  • 2022-11-04 Acwing每日一题
    本系列所有题目均为Acwing课的内容,发表博客既是为了学习总结,加深自己的印象,同时也是为了以后回过头来看时,不会感叹虚度光阴罢了,因此如果出现错误,欢迎大家能够指出错误,我......