《Wireshark的簡單使用》

02-02

百度百科：Wireshark（前稱Ethereal）是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包，並儘可能顯示出最為詳細的網路封包資料。Wireshark使用WinPCAP作為介面，直接與網卡進行數據報文交換。

我們可以直接選擇一個有數據傳輸的網卡，然後點擊Start按鈕開始抓取

看到已經已經抓取了所有的在通信的數據包

好，剛剛說了如何用wireshark抓取數據包，現在來說說怎麼利用抓包過濾器抓到我們想要的包

比如抓到指定的源、目標、協議等。

首先點擊capture options(捕獲選項)

現在來說一下過濾的語法

1.協議：tcp、udp、icmp等

2.src 源

3.dst 目標(可以是網址，也可以是IP地址)

4.port 埠

5.host 主機

當然上面的只是語法一部分！

現在來看看幾個簡單的過濾，比如我們現在想過濾訪問我們零組網址(Web安全 - 零組)的數據包！

dst host www.0-sec.orgn

在舉一個例子，比如現在我們只抓TCP協議並且埠是80的。

可以看到很簡單

tcp port 80n

在說一下設置過濾器，把我們要過濾的策略保存其他，方便使用。

先點擊Capture Filter按鈕

然後點擊new（新建規則）

接著就可以抒寫策略了，Filter name(策略名)這裡我們輸入任意的名字

to tcp 80 //名字ntcp port 80 //內容n

這樣我們就寫好了自己的策略，下回可以直接調用

還是上面的過濾語法與之不同的是新曾了幾個其他的語法

1.邏輯 == ！ && or

現在再來舉個小例子：

之前埠tcp埠80的，並且目標ip是47.89.48.123的

tcp.port==80 && ip.dst ==47.89.48.123n