標籤:

《Wireshark的簡單使用》

百度百科:Wireshark(前稱Ethereal)是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包,並儘可能顯示出最為詳細的網路封包資料。Wireshark使用WinPCAP作為介面,直接與網卡進行數據報文交換。

  • 一、Wireshark簡單抓包

我們可以直接選擇一個有數據傳輸的網卡,然後點擊Start按鈕開始抓取

看到已經已經抓取了所有的在通信的數據包

  • 二、設置抓包過濾

好,剛剛說了如何用wireshark抓取數據包,現在來說說怎麼利用抓包過濾器抓到我們想要的包

比如抓到指定的源、目標、協議等。

首先點擊capture options(捕獲選項)

現在來說一下過濾的語法

1.協議:tcp、udp、icmp等

2.src 源

3.dst 目標(可以是網址,也可以是IP地址)

4.port 埠

5.host 主機

當然上面的只是語法一部分!

現在來看看幾個簡單的過濾,比如我們現在想過濾訪問我們零組網址(Web安全 - 零組)的數據包!

dst host www.0-sec.orgn

在舉一個例子,比如現在我們只抓TCP協議並且埠是80的。

可以看到很簡單

tcp port 80n

在說一下設置過濾器,把我們要過濾的策略保存其他,方便使用。

先點擊Capture Filter按鈕

然後點擊new(新建規則)

接著就可以抒寫策略了,Filter name(策略名)這裡我們輸入任意的名字

to tcp 80 //名字ntcp port 80 //內容n

這樣我們就寫好了自己的策略,下回可以直接調用

  • 三、過濾抓取到的數據

還是上面的過濾語法與之不同的是新曾了幾個其他的語法

1.邏輯 == ! && or

現在再來舉個小例子:

之前埠tcp埠80的,並且目標ip是47.89.48.123的

tcp.port==80 && ip.dst ==47.89.48.123n


推薦閱讀:

簡明 Wireshark 和 TCP 入門指南
wireshark怎麼捕捉lacp報文?
Wireshark 如何使用?

TAG:Wireshark |