wireshark

[toc]

简介

是目前世界上最受欢迎的协议分析软件，可将捕获的各种各样的二进制数据翻译为人们易读和理解的文字和图标等形式，极大方便了对网络活动的检测和教学实验。

技巧

(1)确定wireshark的物理位置。

如果没有一个准确的位置，启动wreshark后会花费很长时间捕获无关数据

(2)选择捕获地址。

一般都是Internet网络接口，这样才能捕获与网络相关的数据

(3)使用捕获过滤器。

可以避免产生过大捕获信息。

(4)使用显示过滤器

使过滤的数据包更细致。

(5)使用着色规则

(6)构建图表

(7)重组数据

模式

普通模式

只接受发给本机的包并传递给上层程序，其他包一律丢弃。

混杂模式

接受所有经过网卡的数据包，包括不是发送给本机的包，不验证Mac地址。

界面

1.过滤器

(1)捕获过滤器

是wireshark的第一层过滤器，确定捕获哪些包、舍弃哪些包

规则：

协议 方向 主机/端口

(1)protocol

可能为http、https、ftp、udp、tcp、ipv4、ipv6、arp、icmp等协议，如果没说明，则默认为支持所有协议

(2)dirtection

可能的值为src、dst、src and dst、src or dst 默认为src or dst

(3)host

可能的值net、port、host、portange，默认为host

(4)逻辑运算符

not、and、or,not具有最高优先级，and、or优先级相同，运算从左往右

(2)显示过滤器

是wireshark的第二层过滤器，在捕获过滤器上显示符合规则的封包信息

(1)比较运算符与逻辑运算符

(2)ip地址来源:

​ ip.addr:来源ip地址或者目标ip地址

​ ip.src:来源ip地址

​ ip.dst:目标ip地址

(3)协议过滤

​ 可以使用arp、ip、icmp、udp、tcp、bootp、dns等

2.封包列表

显示抓到的所有数据表，包括编号、时间戳、源地址、目标地址、协议、长度以及封包信息

(1)frame:物理层的数据帧概述

(2)ethernet II:数据链路层以太网的数据分析

(3)internet protocol version 4:互联网层ip包头部信息

(4)transmission control protocol:传输层的数据头部信息

(5)hypertext transfer protocol:应用层的信息