01.Wireshark入门
Wireshark官网下载地址:
https://www.wireshark.org/#download
SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。
伯克利包过滤规则,由三部分组成:
1.type表示对象,如:IP地址,子网,端口
2.dir表示数据包的方向,是从源端口到目标端口,还是从目标端口到源端口
3.proto表示与数据包匹配的协议类型,ip协议?tcp协议?arp协议?
例子:
1.过滤出IP地址为192.168.4.36的数据
表达式:ip.addr==192.168.4.36
2.过滤出源IP地址为192.168.4.36的数据
表达式:ip.src==192.168.4.36
3.过滤出目标地址为192.168.4.36的数据
表达式:ip.dst==192.168.4.36
4.过滤出目的地址为192.168.4.36,TCP协议端口80的数据
表达式:tcp.port==80 and ip.dst==192.168.4.36
※注:在192.168.1.136主机上用游览器URL访问了192.168.4.36主机产生的数据。可以看出,数据是从1.136主机的51511端口→4.36目标主机的80端口。
5.过滤出源地址为192.168.4.36,协议为TCP端口80,的数据
表达式:tcp.port==80 and ip.src==192.168.4.36
※注:可以看出,数据是从4.36主机的80端口→1.136目标主机的51511端口。
6.过滤出网络范围为192.168.4.0/24的数据
表达式:ip.addr==192.168.4.0/24
捕获过滤器
在抓取数据包之前配置的过滤器,抓取符合规则的数据包,丢弃不符合规则的数据包。
例子
1.只捕获目标端口为80的TCP数据包
表达式:tcp dst port 80
2.捕获目标主机IP地址为192.168.4.36的数据包,即1.136主机发送出去的数据包
表达式:dst host 192.168.4.36
※注:在192.168.1.136主机上ping了192.168.4.36主机产生的数据。
3.捕获源主机IP地址为192.168.4.36的数据包,即响应1.136主机的数据包
表达式:src host 192.168.4.36
3.捕获主机IP地址为192.168.4.36的数据包
表达式:src host 192.168.4.36 || dst host 192.168.4.36
筛选过滤器(或称之为显示过滤器)
在抓取到数据包之后进行配置的过滤器。或者是对已经抓取到的流量进行再筛选,找出更加符合需要的数据包。
表达式可以通过两种方式创建:
第一种:通过输入框创建
第二种:通过数据包细节面板创建。
表达式逻辑关系 (与、或、非)
and or not
&& || !
捕获输出
文件格式
通过capture → Options 打开捕获输出选项设置对话框
选择 Output设置输出的文件格式,pcapng 或者 pcap
例一:当监听服务器时,由于数据量非常大,如长时间保存在一个文件中会导致wireshark无法正常打开保存的文件。这种场合就需要通过自动创建时间间隔文件来保存包文件,每隔n秒自动创建一个数据流量文件。
可以看到,保存的包文件间隔基本都是10秒。
例二:周而复始,循环保存。避免磁盘空间消耗殆尽。
Options选项卡
杂项设置
查看Wireshark内置文件路径
Help-About Wireshark-Folders
查看Wireshark插件路径
Help-About Wireshark-Plugins,可以显示出当前所有插件路径。
更换Wireshark显示界面
