怎麼用wireshark看抓包文件

打開抓包文件，在filter輸入過濾條件，找到符合條件的   右擊 追蹤流  查看流消息。

 

 

 

 

 

 

 

過濾表達式的規則

表達式規則

 1. 協議過濾

好比TCP，只顯示TCP協議。

2. IP 過濾

好比 ip.src ==192.168.1.102 顯示源地址爲192.168.1.102，

ip.dst==192.168.1.102, 目標地址爲192.168.1.10

3. 端口過濾

tcp.port ==80,  端口爲80的

tcp.srcport == 80,  只顯示TCP協議的願端口爲80的。

4. Http模式過濾

http.request.method=="GET",   只顯示HTTP GET方法的。

5. 邏輯運算符爲 AND/ OR

經常使用的過濾表達式

過濾表達式	用途
http	只查看HTTP協議的記錄
ip.src ==192.168.1.102 or ip.dst==192.168.1.102	源地址或者目標地址是192.168.1.102

 

 

 

 

 

封包列表(Packet List Pane)

封包列表的面板中顯示，編號，時間戳，源地址，目標地址，協議，長度，以及封包信息。 你能夠看到不一樣的協議用了不一樣的顏色顯示。

你也能夠修改這些顯示顏色的規則，  View ->Coloring Rules.

----------------------------------------------------------------------------------------------------------------------------------------------------------

wireshark過濾器表達式的規則

一、抓包過濾器語法和實例

   抓包過濾器類型Type（host、net、port）、方向Dir（src、dst）、協議Proto（ether、ip、tcp、udp、http、icmp、ftp等）、邏輯運算符（&& 與、|| 或、！非）

（1）協議過濾

  比較簡單，直接在抓包過濾框中直接輸入協議名便可。

  TCP，只顯示TCP協議的數據包列表

  HTTP，只查看HTTP協議的數據包列表

  ICMP，只顯示ICMP協議的數據包列表

（2）IP過濾

  host 192.168.1.104

  src host 192.168.1.104

  dst host 192.168.1.104

（3）端口過濾

  port 80

  src port 80

  dst port 80

（4）邏輯運算符&& 與、|| 或、！非

  src host 192.168.1.104 && dst port 80 抓取主機地址爲192.168.1.80、目的端口爲80的數據包

  host 192.168.1.104 || host 192.168.1.102 抓取主機爲192.168.1.104或者192.168.1.102的數據包

  ！broadcast 不抓取廣播數據包

二、顯示過濾器語法和實例

（1）比較操做符

  比較操做符有== 等於、！= 不等於、> 大於、< 小於、>= 大於等於、<=小於等於。

（2）協議過濾

  比較簡單，直接在Filter框中直接輸入協議名便可。注意：協議名稱須要輸入小寫。

  tcp，只顯示TCP協議的數據包列表

  http，只查看HTTP協議的數據包列表

  icmp，只顯示ICMP協議的數據包列表

（3） ip過濾

   ip.src ==192.168.1.104 顯示源地址爲192.168.1.104的數據包列表

   ip.dst==192.168.1.104, 顯示目標地址爲192.168.1.104的數據包列表

   ip.addr == 192.168.1.104 顯示源IP地址或目標IP地址爲192.168.1.104的數據包列表

（4）端口過濾

  tcp.port ==80,  顯示源主機或者目的主機端口爲80的數據包列表。

  tcp.srcport == 80,  只顯示TCP協議的源主機端口爲80的數據包列表。

  tcp.dstport == 80，只顯示TCP協議的目的主機端口爲80的數據包列表。

（5） Http模式過濾

  http.request.method=="GET",   只顯示HTTP GET方法的。

（6）邏輯運算符爲 and/or/not

  過濾多個條件組合時，使用and/or。好比獲取IP地址爲192.168.1.104的ICMP數據包表達式爲ip.addr == 192.168.1.104 and icmp

（7）按照數據包內容過濾。假設我要以IMCP層中的內容進行過濾，能夠單擊選中界面中的碼流，在下方進行選中數據。以下

右鍵單擊選中後出現以下界面

選中Select後在過濾器中顯示以下

後面條件表達式就須要本身填寫。以下我想過濾出data數據包中包含"abcd"內容的數據流。包含的關鍵詞是contains 後面跟上內容。

看到這， 基本上對wireshak有了初步瞭解。

 

WireShark 主要分爲這幾個界面

1. Display Filter(顯示過濾器)，  用於設置過濾條件進行數據包列表過濾。菜單路徑：Analyze --> Display Filters。

  2. Packet List Pane(數據包列表)， 顯示捕獲到的數據包，每一個數據包包含編號，時間戳，源地址，目標地址，協議，長度，以及數據包信息。 不一樣協議的數據包使用了不一樣的顏色區分顯示。

  3. Packet Details Pane(數據包詳細信息), 在數據包列表中選擇指定數據包，在數據包詳細信息中會顯示數據包的全部詳細信息內容。數據包詳細信息面板是最重要的，用來查看協議中的每個字段。各行信息分別爲

  （1）Frame:   物理層的數據幀概況

  （2）Ethernet II: 數據鏈路層以太網幀頭部信息

  （3）Internet Protocol Version 4: 互聯網層IP包頭部信息

  （4）Transmission Control Protocol:  傳輸層T的數據段頭部信息，此處是TCP

  （5）Hypertext Transfer Protocol:  應用層的信息，此處是HTTP協議

　　wireshark與對應的OSI七層模型

TCP包的具體內容

 從下圖能夠看到wireshark捕獲到的TCP包中的每一個字段。

  4. Dissector Pane(數據包字節區)。

 

 

Wireshark抓包分析TCP三次握手

 

（1）TCP三次握手鍊接創建過程

 

    Step1：客戶端發送一個SYN=1，ACK=0標誌的數據包給服務端，請求進行鏈接，這是第一次握手；

 

    Step2：服務端收到請求而且容許鏈接的話，就會發送一個SYN=1，ACK=1標誌的數據包給發送端，告訴它，能夠通信了，而且讓客戶端發送一個確認數據包，這是第二次握手；

 

   Step3：服務端發送一個SYN=0，ACK=1的數據包給客戶端端，告訴它鏈接已被確認，這就是第三次握手。TCP鏈接創建，開始通信。

 

 

（2）wireshark抓包獲取訪問指定服務端數據包

 

    Step1：啓動wireshark抓包，打開瀏覽器輸入www.huawei.com。

 

    Step2：使用ping www.huawei.com獲取IP。

 

 

    Step3：輸入過濾條件獲取待分析數據包列表 ip.addr == 211.162.2.183

 

 

  圖中能夠看到wireshark截獲到了三次握手的三個數據包。第四個包纔是HTTP的， 這說明HTTP的確是使用TCP創建鏈接的。

 

第一次握手數據包

 

客戶端發送一個TCP，標誌位爲SYN，序列號爲0， 表明客戶端請求創建鏈接。 以下圖。

 

 

數據包的關鍵屬性以下：

 

  SYN ：標誌位，表示請求創建鏈接

 

  Seq = 0 ：初始創建鏈接值爲0，數據包的相對序列號從0開始，表示當前尚未發送數據

 

  Ack =0：初始創建鏈接值爲0，已經收到包的數量，表示當前沒有接收到數據

 

第二次握手的數據包

 

服務器發回確認包, 標誌位爲 SYN,ACK. 將確認序號(Acknowledgement Number)設置爲客戶的I S N加1以.即0+1=1, 以下圖

 

 

 數據包的關鍵屬性以下：

 

  [SYN + ACK]: 標誌位，贊成創建鏈接，並回送SYN+ACK

 

  Seq = 0 ：初始創建值爲0，表示當前尚未發送數據

 

  Ack = 1：表示當前端成功接收的數據位數，雖然客戶端沒有發送任何有效數據，確認號仍是被加1，由於包含SYN或FIN標誌位。（並不會對有效數據的計數產生影響，由於含有SYN或FIN標誌位的包並不攜帶有效數據）

 

第三次握手的數據包

 

  客戶端再次發送確認包(ACK) SYN標誌位爲0,ACK標誌位爲1.而且把服務器發來ACK的序號字段+1,放在肯定字段中發送給對方.而且在數據段放寫ISN的+1, 以下圖:

 

 

數據包的關鍵屬性以下：

 

  ACK ：標誌位，表示已經收到記錄

 

  Seq = 1 ：表示當前已經發送1個數據

 

  Ack = 1 : 表示當前端成功接收的數據位數，雖然服務端沒有發送任何有效數據，確認號仍是被加1，由於包含SYN或FIN標誌位（並不會對有效數據的計數產生影響，由於含有SYN或FIN標誌位的包並不攜帶有效數據)。

 

  就這樣經過了TCP三次握手，創建了鏈接。開始進行數據交互

 

 

下面針對數據交互過程的數據包進行一些說明：

 

 

數據包的關鍵屬性說明

 

  Seq: 1

 

  Ack: 1: 說明如今共收到1字節數據

 

 

  Seq: 1
  Ack: 951: 說明如今服務端共收到951字節數據

 

  在TCP層，有個FLAGS字段，這個字段有如下幾個標識：SYN, FIN, ACK, PSH, RST, URG。以下

 

 

    其中，對於咱們平常的分析有用的就是前面的五個字段。它們的含義是：SYN表示創建鏈接，FIN表示關閉鏈接，ACK表示響應，PSH表示有DATA數據傳輸，RST表示鏈接重置。

 

Wireshark分析經常使用操做

 

  調整數據包列表中時間戳顯示格式。調整方法爲View -->Time Display Format --> Date and Time of Day。調整後格式以下：

 

 

 

 

 

2、如何抓包。

選擇網卡，點擊開始抓包，中止，文件保存文件。

　　打開wireshark，在菜單欄選擇捕獲，選擇選項 勾選要追蹤的網絡，同時 能夠在抓包前設置過濾條件  在分析->顯示過濾器 下設置過濾條件。

 

捕獲過濾器的菜單欄路徑爲Capture --> Capture Filters。用於在抓取數據包前設置。

 

 如何使用？能夠在抓取數據包前設置以下。

 

 

ip host 60.207.246.216 and icmp表示只捕獲主機IP爲60.207.246.216的ICMP數據包。獲取結果以下：