Wireshark

（一）Wireshark基礎

1、Display Filter

    顯示過濾器，用來設置過濾條件進行數據包列表過濾。Analyze—>Display Filter

 

2、Packet List Pane

    數據包列表， 顯示捕獲到的數據包，每一個數據包包含編號，時間戳，源地址，目標地址，協議，長度，以及數據包信息。不一樣協議的數據包使用了不一樣的顏色區分顯示。

 

3、Packet Details Pane

    數據包詳細信息，在數據包列表中選擇指定數據包，在數據包詳細信息中會顯示數據包的全部詳細信息內容。數據包詳細信息面板是最重要的，用來查看協議中的每個字段。各行信息分別爲

 

  （1）Frame:   物理層的數據幀概況

  （2）Ethernet II: 數據鏈路層以太網幀頭部信息

  （3）Internet Protocol Version 4: 互聯網層IP包頭部信息

  （4）Transmission Control Protocol:  傳輸層T的數據段頭部信息，此處是TCP

  （5）Hypertext Transfer Protocol:  應用層的信息，此處是HTTP協議

 

TCP包的具體內容：

 

4、Dissector Pane

    數據包字節區。

 

 

 

（二）wireshark過濾器表達式的規則

 

1、抓包過濾器和語法和實例

抓包過濾器類型Type（host、net、port）、

方向Dir（src、dst）、

協議Proto（ether、ip、tcp、udp、http、icmp、ftp等）、

邏輯運算符（&& 與、|| 或、！非）

（1）協議過濾

  比較簡單，直接在抓包過濾框中直接輸入協議名便可。

  TCP，只顯示TCP協議的數據包列表

  HTTP，只查看HTTP協議的數據包列表

  ICMP，只顯示ICMP協議的數據包列表

（2）IP過濾

  host 192.168.1.104

  src host 192.168.1.104

  dst host 192.168.1.104

（3）端口過濾

  port 80

  src port 80

  dst port 80

（4）邏輯運算符&& 與、|| 或、！非

1.src host 192.168.1.104 && dst port 80 ：

抓取主機地址爲192.168.1.80、目的端口爲80的數據包；

2.host 192.168.1.104 || host 192.168.1.102 ：

抓取主機爲192.168.1.104或者192.168.1.102的數據包；

3.！broadcast :

不抓取廣播數據包。

 

2、顯示過濾器語法和實例

（1）比較操做符

比較操做符有：

== 等於、

！= 不等於、

> 大於、

< 小於、

>= 大於等於、

<=小於等於。

（2）協議過濾

直接在Filter框中直接輸入協議名便可。注意：協議名稱須要輸入小寫。

  tcp，只顯示TCP協議的數據包列表

  http，只查看HTTP協議的數據包列表

  icmp，只顯示ICMP協議的數據包列表

（3） ip過濾

   ip.src ==192.168.1.104 顯示源地址爲192.168.1.104的數據包列表

   ip.dst==192.168.1.104, 顯示目標地址爲192.168.1.104的數據包列表

   ip.addr == 192.168.1.104 顯示源IP地址或目標IP地址爲192.168.1.104的數據包列表

（4）端口過濾

  tcp.port ==80,  顯示源主機或者目的主機端口爲80的數據包列表。

  tcp.srcport == 80,  只顯示TCP協議的源主機端口爲80的數據包列表。

  tcp.dstport == 80，只顯示TCP協議的目的主機端口爲80的數據包列表。

（5)http模式過濾

  http.request.method=="GET",   只顯示HTTP GET方法的。

（6）邏輯運算符爲 and/or/not

過濾多個條件組合時，使用and/or。好比獲取IP地址爲192.168.31.56的ICMP數據包表達式爲ip.addr == 192.168.31.56 and icmp

（7）按照數據包內容過濾

假設我要以IMCP層中的內容進行過濾，能夠單擊選中界面中的碼流，在下方進行選中數據。以下

右鍵單擊選中後出現以下界面

選中Select後在過濾器中顯示以下

後面條件表達式就須要本身填寫。以下我想過濾出data數據包中包含"abcd"內容的數據流。包含的關鍵詞是contains 後面跟上內容。