Wireshark的使用（抓包、過濾器）

Wireshark的使用（抓包、過濾器）

聽語音

分步閱讀

Wireshark這個轉包工具的簡單實用

工具/原料

Wireshark軟件包

方法/步驟

        Wireshark是世界上最流行的網絡分析工具。這個強大的工具能夠捕捉網絡中的數據，併爲用戶提供關於網絡和上層協議的各類信息。與不少其餘網絡工具同樣，Wireshark也使用pcap network library來進行封包捕捉。可破解局域網內QQ、郵箱、msn、帳號等的密碼！！  

        wireshark的原名是Ethereal，新名字是2006年起用的。當時Ethereal的主要開發者決定離開他原來供職的公司，並繼續開發這個軟件。但因爲Ethereal這個名稱的使用權已經被原來那個公司註冊，Wireshark這個新名字也就應運而生了。 在成功運行Wireshark以後，咱們就能夠進入下一步，更進一步瞭解這個強大的工具。下面是一張地址爲192.168.1.2的計算機正在訪問「openmaniak.com」網站時的截圖。

 1. MENUS（菜單）

 

2. SHORTCUTS（快捷方式）

 

3. DISPLAY FILTER（顯示過濾器）

 

4. PACKET LIST PANE（封包列表）

 

5. PACKET DETAILS PANE（封包詳細信息）

 

6. DISSECTOR PANE（16進制數據）

 

7. MISCELLANOUS（雜項）

 

 

 

1.捕捉過濾器

捕捉過濾器的語法與其它使用Lipcap（Linux）或者Winpcap（Windows）庫開發的軟件同樣，好比著名的TCPdump。捕捉過濾器必須在開始捕捉前設置完畢，這一點跟顯示過濾器是不一樣的。

設置捕捉過濾器的步驟是：

選擇 capture -> options。- 填寫"capture filter"欄或者點擊"capture filter"按鈕爲您的過濾器起一個名字並保存，以便在從此的捕捉中繼續使用這個過濾器。- 點擊開始（Start）進行捕捉。

    

語法：

ProtocolDirectionHost(s)ValueLogical OperationsOther expression

例子：tcpdst10.1.1.180andtcp dst 10.2.2.2 3128

Protocol（協議）:可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.若是沒有特別指明是什麼協議，則默認使用全部支持的協議。

Direction（方向）:可能的值: src, dst, src and dst, src or dst若是沒有特別指明來源或目的地，則默認使用 "src or dst" 做爲關鍵字。

例如，"host 10.2.2.2"與"src or dst host 10.2.2.2"是同樣的。

Host(s):可能的值： net, port, host, portrange.若是沒有指定此值，則默認使用"host"關鍵字。例如，"src 10.1.1.1"與"src host 10.1.1.1"相同。

Logical Operations（邏輯運算）:可能的值：not, and, or.否("not")具備最高的優先級。或("or")和與("and")具備相同的優先級，運算時從左至右進行。

例如，"not tcp port 3128 and tcp port 23"與"(not tcp port 3128) and tcp port 23"相同。"not tcp port 3128 and tcp port 23"與"not (tcp port 3128 and tcp port 23)"不一樣。

 

例子：

tcp dst port 3128

顯示目的TCP端口爲3128的封包。

ip src host 10.1.1.1

顯示來源IP地址爲10.1.1.1的封包。

host 10.1.2.3

顯示目的或來源IP地址爲10.1.2.3的封包。

src portrange 2000-2500

顯示來源爲UDP或TCP，而且端口號在2000至2500範圍內的封包。

not imcp

顯示除了icmp之外的全部封包。（icmp一般被ping工具使用）

src host 10.7.2.12 and not dst net 10.200.0.0/16

顯示來源IP地址爲10.7.2.12，但目的地不是10.200.0.0/16的封包。

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

顯示來源IP爲10.4.1.12或者來源網絡爲10.6.0.0/16，目的地TCP端口號在200至10000之間，而且目的位於網絡10.0.0.0/8內的全部封包。

 

注意事項：當使用關鍵字做爲值時，需使用反斜槓「\」。"ether proto \ip" (與關鍵字"ip"相同).這樣寫將會以IP協議做爲目標。"ip proto \icmp" (與關鍵字"icmp"相同).這樣寫將會以ping工具經常使用的icmp做爲目標。能夠在"ip"或"ether"後面使用"multicast"及"broadcast"關鍵字。當您想排除廣播請求時，"no broadcast"就會很是有用。查看 TCPdump的主頁以得到更詳細的捕捉過濾器語法說明。在Wiki Wireshark website上能夠找到更多捕捉過濾器的例子。

 

2. 顯示過濾器：一般通過捕捉過濾器過濾後的數據仍是很複雜。此時您可使用顯示過濾器進行更加細緻的查找。它的功能比捕捉過濾器更爲強大，並且在您想修改過濾器條件時，並不須要從新捕捉一次。

3.語法：Protocol.String

String 2  Comparisonoperator  Value  LogicalOperations  Otherexpression

例子：ftppassiveip==10.2.3.4xoricmp.type

Protocol（協議）:您可使用大量位於OSI模型第2至7層的協議。點擊"Expression..."按您能夠看到它們。好比：IP，TCP，DNSSSH鈕後，您能夠看到它們。好比：IP，TCP，DNS , SSH

 

您一樣能夠在以下所示位置找到所支持的協議：

 

Wireshark的網站提供了對各類 協議以及它們子類的說明。 String1, String2 (可選項):協議的子類。點擊相關父類旁的"+"號，而後選擇其子類。

 

Comparison operators （比較運算符）:

 

例子