一、下载地址
https://www.wireshark.org/#download
二、安装过程
一路next
三、简介
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
Wireshark主要应用
1、实时抓取数据包并进行分析(抓包模块)
2、对已获取的数据包进行流量分析
四、使用
1、开始页
如果没有显示这些连接需要卸载重装。显示有波浪线的说明有数据包,双击进入。
2、主界面
分组列表:将流量以分组的形式,简单的呈现出来
分组详情:将流量以TCP/IP5层模式形式展现出来
分组字节流:将流量以字节流形式展现也就是16进制
3、快捷键
(1)开始捕获
(2)暂停捕获
(3)重新开始当前捕获
(4)捕获选项(重新选择捕获网络)
(5)打开保存的捕获文件
(6)保存捕获文件
(7)关闭捕获文件(返回开始界面)
(8)重新加载文件(恢复到一开始打开文件的状态)
(9)*查找下一分组
(10)转到前一分组
(11)转到后一分组
(12)转到特定分组
(13)转到首个分组
(14)转到最新分组(以上五个作用与鼠标点击一样)
(15)在实时捕获时,自动滚动屏幕到最新的分组
(16)自定义着色规则来绘制分组
(17)放大主窗口文本
(18)收缩主窗口文字
(19)使主窗口文字返回正常大小
(20)调整分组列表列以适应内容
4、菜单栏
4.1文件
(1)打开
(2)打开最近文件
(3)合并
(4)导入
(5)*导出特定分组
(6)*导出分组解析结果
(7)导出分组字节流
(8)*导出对象
4.2编辑
(1)复制(选中后复制相关信息)
(2)标记/取消标记分组
(3)标记所有显示的分组
(4)取消标记所有显示的分组
(5)分组注释
(6)删除所有分组注释
(7)配置文件(主题设置)
(8)首选项
4.3视图
眼睛能看到的所有设置
4.4跳转
与鼠标作用相似
4.5捕获
4.6*分析
(1)显示过滤器
(2)显示过滤表达式
(3)*应用为列(例:选择端口信息应用为列,则可以在分组列表中看到端口列)
(4)*追踪流
4.7统计
(1)*协议分级
(2)*会话
5、过滤方式
规则:协议名字+字段名+判断+值
(1)过滤IP,如来源IP或者目标IP等于某个IP ip.src eq 10.2.6.10 or ip.dst eq 10.2.6.10
(2)过滤端口
tcp.port eq 80 不管端口是来源的还是目标的都显示
tcp.dstport == 80 只显tcp协议的目标端口80
tcp.srcport ==80 只显tcp协议的来源端口80
过滤端口范围
tcp.port >= 1 and tcp.port <=80
(3)过滤协议
例子:tcp udp arp
(4)过滤MAC
以太网头过滤
eth.dst == A0:00:00:04:C5:84//过滤目标mac
eth.src eq A0:00:00:04:C5:84//过滤来源mac
eth.addr eq A0:00:00:04:C5:84//过滤来源MAc和目标MAC都等于A0:00:00:04:C5:84的
(5)包长度过滤
例子:
udp.length == 26这个长度是指udp本身固定长度8加上udp下面那块数据包之和tcp.len >= 7指的是ip数据包(tcp下面那块数据),不包括tcp本身
(6)http模式过滤
例子:
http.request.method ==“GET"
http.request.method ==“POST"
http.request.uri =z ““/img/ogo-edu.gif”
http contains"GET”
http contains"HTTP/1.”
