wireshark數(shù)據(jù)包分析工具。非常流行的網(wǎng)絡(luò)封包分析軟件,功能屈指可數(shù)。wireshark是開源軟件,可以放心使用。
使用范圍也是非常廣的;只要是網(wǎng)絡(luò)方面的都會用到這款工具。
來看下界面如下:
上面有個應(yīng)用顯示過濾器 有以下一些過濾表達式;
雙擊接口就可以開始抓包了。
協(xié)議過濾
TCP:只顯示TCP協(xié)議的數(shù)據(jù)流
HTTP:只顯示HTTP協(xié)議的數(shù)據(jù)流
ICMP:只顯示ICMP協(xié)議的數(shù)據(jù)流
ARP:只顯示ARP協(xié)議的數(shù)據(jù)流
DNS:顯示DNS協(xié)議的數(shù)據(jù)流
IP過濾
ip.addr = 192.168.1.1,只顯示ip為192.168.1.1有關(guān)的數(shù)據(jù)流
ip.src = 192.168.1.1,只顯示源IP地址為192.168.1.1的數(shù)據(jù)流
ip.dst = 192.168.1.1,只顯示目標(biāo)IP地址為192.168.1.1的數(shù)據(jù)流
端口過濾
tcp.port == 80,只顯示80端口TCP數(shù)據(jù)流
udp.prot == 67,只顯示67端口UDP數(shù)據(jù)流
tcp.srcport == 80, 只顯示源地址的80端口數(shù)據(jù)流
tcp.dstport == 80,只顯示目的地址80端口數(shù)據(jù)流
過濾HTTP協(xié)議
http.request.method=="GET",顯示get請求
http.request.method=="POST" ,顯示POST請求
http.request.url contains admin ,顯示url中包含admin的 請求
http.request.code==404,顯示狀態(tài)碼為404
連接符
and,or
如tcp.port == 80 and ip.addr = 192.168.1.1
wireshark著色規(guī)則:
菜單欄里面有個視圖-里面有個著色規(guī)則
顏色可以快速區(qū)別是哪種數(shù)據(jù)流。
有波浪線就代表有數(shù)據(jù)流,下面我們雙擊wlan看下效果
雙擊進去就如下圖:
Wireshark數(shù)據(jù)包的結(jié)構(gòu)
第1行:數(shù)據(jù)包整體概述,內(nèi)容比較多。
第2行:數(shù)據(jù)鏈路層詳細信息,主要為mac地址。
第3行:網(wǎng)絡(luò)層詳細信息,主要的是雙方的IP地址。
第4行:傳輸層的詳細信息,主要的是雙方的端口號。
第5行:TCP或UDP是傳輸?shù)腄ATA,DNS這是域名的相關(guān)信息。
