抓包工具
wireshark是一款专业的网络协议检测工具, 是世界上最流行的网络协议分析器,包含有强显示过滤器语言(rich display filter language)和查看TCP会话重构流的能力,被称为网络分析专业的常青树。wireshark是目前世界上最流行、又完全免费的网络分析器程序应用,在并不受其他数据影响的情况下,帮助自己在网络海洋中快速、精确的打捞上自己所需要的程序文件数据。该软件适用于网络管理员、网络安全程序师、甚至于普通新手用户等不同身份的用户通过它大量的排序和过滤选项为新的通讯协定除错,或者学习到一些相关网络知识!
抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&& 与、|| 或、!非)
1、协议过滤
比较简单,直接在抓包过滤框中直接输入协议名即可。
TCP,只显示TCP协议的数据包列表
HTTP,只查看HTTP协议的数据包列表
ICMP,只显示ICMP协议的数据包列表
2、IP过滤
host 192.168.1.104
src host 192.168.1.104
dst host 192.168.1.104
3、端口过滤
port 80
src port 80
dst port 80
4、逻辑运算符&& 与、|| 或、!非
src host 192.168.1.104 && dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包
host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包
!broadcast 不抓取广播数据包
二、显示过滤器语法和实例
1、比较操作符
比较操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。
2、协议过滤
比较简单,直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。
tcp,只显示TCP协议的数据包列表
http,只查看HTTP协议的数据包列表
icmp,只显示ICMP协议的数据包列表
3、 ip过滤
ip.src ==192.168.1.104 显示源地址为192.168.1.104的数据包列表
ip.dst==192.168.1.104, 显示目标地址为192.168.1.104的数据包列表
ip.addr == 192.168.1.104 显示源IP地址或目标IP地址为192.168.1.104的数据包列表
4、端口过滤
tcp.port ==80,显示源主机或者目的主机端口为80的数据包列表。
tcp.srcport == 80,只显示TCP协议的源主机端口为80的数据包列表。
tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表。
5、 Http模式过滤
http.request.method=="GET",只显示HTTP GET方法的。
6、逻辑运算符为 and/or/not
过滤多个条件组合时,使用and/or。比如获取IP地址为192.168.1.104的ICMP数据包表达式为ip.addr == 192.168.1.104 and icmp
7、按照数据包内容过滤。假设我要以IMCP层中的内容进行过滤,可以单击选中界面中的码流,在下方进行选中数据。如下
右键单击选中后出现如下界面;
选中Select后在过滤器中,后面条件表达式就需要自己填写。如下我想过滤出data数据包中包含内容的数据流。包含的关键词是contains 后面跟上内容
软件对主流的操作系统都提供了支持,其中包括Windows、MacOSX以及基于Linux的系统。
2、使用捕获过滤器
通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。
3、选择捕获接口
一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。
4、重组数据
Wireshark的重组功能,可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件。由于传输的文件往往较大,所以信息分布在多个数据包中。为了能够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现。
5、免费
由于软件是开源的,它在价格上面是无以匹敌的,软件是遵循GPL协议发布的自由软件,任何人无论出于私人还是商业目的,都可以下载并且使用。
6、用户友好度
软件的界面是数据包嗅探工具中最容易理解的工具之一。基于GUI,并提供了清晰的菜单栏和简明的布局
2、在接口实时捕捉包
3、能详细显示包的详细协议信息
4、可以打开/保存捕捉的包
5、可以导入导出其他捕捉程序支持的包数据格式
6、可以通过多种方式过滤包
7、多种方式查找包
8、通过过滤以多种色彩显示包
9、创建多种统计分析
要是没有一个正确位子,运行Wireshark之后耗费很长时间捕获一些和自己不相干的数据。
2、挑选捕获插口
一般都会选择传送到Internet网络的插口,这样才能够捕获到与网络相关的数据。不然,捕获过的其他数据对自身没有任何协助。
3、应用捕获过滤器
可设置捕获过滤器,能够避免造成过大捕获文档。那样客户在剖析数据时,都不会受其他数据影响。并且,还能够为顾客节省大量时间。
4、应用表明过滤器
一般应用捕获过滤器过虑后数据,通常还是非常繁杂。为了能让过虑的数据包再更具体,这时应用表明过滤器开展过虑。
5、应用上色标准
一般应用表明过滤器过虑后数据,都是有效的数据包。如果要更突出的表明某一对话,可以用上色标准突出显示。
6、搭建数据图表
假如客户需要更突出的看得出一个网络里数据的变化趋势,应用数据图表的方式能够非常方便呈现数据分布特征。
7、重组数据
Wireshark的重组作用,能够重组一个会话中不一样数据包的信息,或者一个重组一个完整的照片或文档。因为传送文件通常比较大,因此信息遍布在各个数据包中。为了能查询到所有照片或文档,这个时候就需要应用重组数据的方法去完成
wireshark表达方式规则
一、【抓包过滤器语法和实例】抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&& 与、|| 或、!非)
1、协议过滤
比较简单,直接在抓包过滤框中直接输入协议名即可。
TCP,只显示TCP协议的数据包列表
HTTP,只查看HTTP协议的数据包列表
ICMP,只显示ICMP协议的数据包列表
2、IP过滤
host 192.168.1.104
src host 192.168.1.104
dst host 192.168.1.104
3、端口过滤
port 80
src port 80
dst port 80
4、逻辑运算符&& 与、|| 或、!非
src host 192.168.1.104 && dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包
host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包
!broadcast 不抓取广播数据包
二、显示过滤器语法和实例
1、比较操作符
比较操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。
2、协议过滤
比较简单,直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。
tcp,只显示TCP协议的数据包列表
http,只查看HTTP协议的数据包列表
icmp,只显示ICMP协议的数据包列表
3、 ip过滤
ip.src ==192.168.1.104 显示源地址为192.168.1.104的数据包列表
ip.dst==192.168.1.104, 显示目标地址为192.168.1.104的数据包列表
ip.addr == 192.168.1.104 显示源IP地址或目标IP地址为192.168.1.104的数据包列表
4、端口过滤
tcp.port ==80,显示源主机或者目的主机端口为80的数据包列表。
tcp.srcport == 80,只显示TCP协议的源主机端口为80的数据包列表。
tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表。
5、 Http模式过滤
http.request.method=="GET",只显示HTTP GET方法的。
6、逻辑运算符为 and/or/not
过滤多个条件组合时,使用and/or。比如获取IP地址为192.168.1.104的ICMP数据包表达式为ip.addr == 192.168.1.104 and icmp
7、按照数据包内容过滤。假设我要以IMCP层中的内容进行过滤,可以单击选中界面中的码流,在下方进行选中数据。如下
右键单击选中后出现如下界面;
选中Select后在过滤器中,后面条件表达式就需要自己填写。如下我想过滤出data数据包中包含内容的数据流。包含的关键词是contains 后面跟上内容
wireshark优势
1、支持的操作系统软件对主流的操作系统都提供了支持,其中包括Windows、MacOSX以及基于Linux的系统。
2、使用捕获过滤器
通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。
3、选择捕获接口
一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。
4、重组数据
Wireshark的重组功能,可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件。由于传输的文件往往较大,所以信息分布在多个数据包中。为了能够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现。
5、免费
由于软件是开源的,它在价格上面是无以匹敌的,软件是遵循GPL协议发布的自由软件,任何人无论出于私人还是商业目的,都可以下载并且使用。
6、用户友好度
软件的界面是数据包嗅探工具中最容易理解的工具之一。基于GUI,并提供了清晰的菜单栏和简明的布局
wireshark特色
1、支持 UNIX 和 Windows 平台2、在接口实时捕捉包
3、能详细显示包的详细协议信息
4、可以打开/保存捕捉的包
5、可以导入导出其他捕捉程序支持的包数据格式
6、可以通过多种方式过滤包
7、多种方式查找包
8、通过过滤以多种色彩显示包
9、创建多种统计分析
wireshark帮助
1、明确Wireshark的部位要是没有一个正确位子,运行Wireshark之后耗费很长时间捕获一些和自己不相干的数据。
2、挑选捕获插口
一般都会选择传送到Internet网络的插口,这样才能够捕获到与网络相关的数据。不然,捕获过的其他数据对自身没有任何协助。
3、应用捕获过滤器
可设置捕获过滤器,能够避免造成过大捕获文档。那样客户在剖析数据时,都不会受其他数据影响。并且,还能够为顾客节省大量时间。
4、应用表明过滤器
一般应用捕获过滤器过虑后数据,通常还是非常繁杂。为了能让过虑的数据包再更具体,这时应用表明过滤器开展过虑。
5、应用上色标准
一般应用表明过滤器过虑后数据,都是有效的数据包。如果要更突出的表明某一对话,可以用上色标准突出显示。
6、搭建数据图表
假如客户需要更突出的看得出一个网络里数据的变化趋势,应用数据图表的方式能够非常方便呈现数据分布特征。
7、重组数据
Wireshark的重组作用,能够重组一个会话中不一样数据包的信息,或者一个重组一个完整的照片或文档。因为传送文件通常比较大,因此信息遍布在各个数据包中。为了能查询到所有照片或文档,这个时候就需要应用重组数据的方法去完成
