網(wǎng)絡(luò)抓包工具–wireshark

一.wireshark介紹

Wireshark（前稱Ethereal）是一個網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是擷取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進行數(shù)據(jù)報文交換。
此工具支持多種網(wǎng)絡(luò)接口類型，捕捉多種網(wǎng)絡(luò)接口類型的包。

wireshark是一款開源的軟件，請自行到網(wǎng)站下載。
下載地址：
https://www.wireshark.org/download/

二.wireshark使用方法

1.打開界面

2.選擇抓包接口

注意：工具使用時，部分使用者可能會遇到找不到wifi的無線網(wǎng)卡，原因是因為沒有打開npf服務(wù)，可以嘗試打開cmd窗口，執(zhí)行net start npf，關(guān)閉wireshark后重新打開即可。

3.包摘要信息
No. 包的編號，編號不會發(fā)生改變，即使進行了過濾也同樣如此

Time 包的時間戳。包時間戳的格式可以自行設(shè)置

Source 顯示包的源地址。

Destination 顯示包的目標(biāo)地址。

Protocal 顯示包的協(xié)議類型的簡寫

Info 包內(nèi)容的附加信息

注：打開抓包工具，瀏覽csdn網(wǎng)站，查看抓包內(nèi)容
如圖

包詳情（中包的協(xié)議及協(xié)議字段，協(xié)議及字段以樹狀方式組織。你可以展開或折疊它們），包字節(jié)（通常在16進制轉(zhuǎn)儲形式中，左側(cè)顯示包數(shù)據(jù)偏移量，中間欄以16進制表示，右側(cè)顯示為對應(yīng)的ASCII字符根據(jù)包數(shù)據(jù)的不同）

捕獲/選項 更改捕捉的網(wǎng)絡(luò)接口

4.過濾包
a.ip過濾
過濾出源ip和目標(biāo)ip的包：ip.addr == 47.95.164.112
如圖：

過濾源ip：ip.src == 47.95.164.112

過濾目標(biāo)ip ：ip.dst == 47.95.164.112

b.端口過濾
過濾tcp端口80的包（包括源和目標(biāo)）tcp.port == 443

過濾tcp源端口：tcp.srcport == 80

過濾tcp目標(biāo)端口 : tcp.dstport == 443

過濾端口區(qū)間：tcp.port >= 443 && tcp.port < 1000

c.協(xié)議過濾
直接填寫需要過濾的協(xié)議即可

d.包長度過濾
udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊數(shù)據(jù)包之和

tcp.len >= 7 指的是ip數(shù)據(jù)包(tcp下面那塊數(shù)據(jù)),不包括tcp本身

ip.len == 94 除了以太網(wǎng)頭固定長度14,其它都算是ip.len,即從ip本身到最后

frame.len == 119 整個數(shù)據(jù)包長度,從eth開始到最后

d.http模式過濾
http.request.method == “POST”

http.request.method == “GET”

http.request.uri == “/img/logo-edu.gif”

http contains “GET”

http contains “HTTP/1.”

e.tcp參數(shù)過濾
tcp.flags 顯示包含TCP標(biāo)志的封包

tcp.flags.syn == 0x02 顯示包含TCP SYN標(biāo)志的封包

tcp.window_size == 0 && tcp.flags.reset != 1

上述過濾方法可以通過與或隨機組合過濾。

本文簡單介紹下wireshark的基本內(nèi)容和常見使用方法，如需詳細(xì)了解此軟件，請瀏覽wireshark的用戶手冊
http://man.lupaworld.com/content/network/wireshark/index.html

總結(jié)

以上是生活随笔為你收集整理的网络抓包工具--wireshark的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。