《Wireshark的簡單使用》
02-02
百度百科:Wireshark(前稱Ethereal)是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包,並儘可能顯示出最為詳細的網路封包資料。Wireshark使用WinPCAP作為介面,直接與網卡進行數據報文交換。
- 一、Wireshark簡單抓包
我們可以直接選擇一個有數據傳輸的網卡,然後點擊Start按鈕開始抓取
看到已經已經抓取了所有的在通信的數據包- 二、設置抓包過濾
好,剛剛說了如何用wireshark抓取數據包,現在來說說怎麼利用抓包過濾器抓到我們想要的包
比如抓到指定的源、目標、協議等。
首先點擊capture options(捕獲選項)
現在來說一下過濾的語法
1.協議:tcp、udp、icmp等
2.src 源
3.dst 目標(可以是網址,也可以是IP地址)
4.port 埠
5.host 主機
當然上面的只是語法一部分!
現在來看看幾個簡單的過濾,比如我們現在想過濾訪問我們零組網址(Web安全 - 零組)的數據包!
dst host www.0-sec.orgn
在舉一個例子,比如現在我們只抓TCP協議並且埠是80的。
可以看到很簡單
tcp port 80n
先點擊Capture Filter按鈕
然後點擊new(新建規則)接著就可以抒寫策略了,Filter name(策略名)這裡我們輸入任意的名字to tcp 80 //名字ntcp port 80 //內容n
- 三、過濾抓取到的數據
還是上面的過濾語法與之不同的是新曾了幾個其他的語法
1.邏輯 == ! && or
現在再來舉個小例子:
之前埠tcp埠80的,並且目標ip是47.89.48.123的
tcp.port==80 && ip.dst ==47.89.48.123n
推薦閱讀:
※簡明 Wireshark 和 TCP 入門指南
※wireshark怎麼捕捉lacp報文?
※Wireshark 如何使用?
TAG:Wireshark |