01.Wireshark入門

Wireshark官網下載地址：

https://www.wireshark.org/#download

 

 

 

伯克利包過濾規則，由三部分組成：

1.type表示對象，如：IP地址，子網，端口

2.dir表示數據包的方向，是從源端口到目標端口，仍是從目標端口到源端口

3.proto表示與數據包匹配的協議類型，ip協議？tcp協議？arp協議？

 

例子：

1.過濾出IP地址爲192.168.4.36的數據

表達式：ip.addr==192.168.4.36

 

 

 

2.過濾出源IP地址爲192.168.4.36的數據

表達式：ip.src==192.168.4.36

 

 

3.過濾出目標地址爲192.168.4.36的數據

表達式：ip.dst==192.168.4.36

 

 

 

4.過濾出目的地址爲192.168.4.36，TCP協議端口80的數據

表達式：tcp.port==80 and ip.dst==192.168.4.36

 

※注：在192.168.1.136主機上用遊覽器URL訪問了192.168.4.36主機產生的數據。能夠看出，數據是從1.136主機的51511端口→4.36目標主機的80端口。

 

 

5.過濾出源地址爲192.168.4.36，協議爲TCP端口80,的數據

表達式：tcp.port==80 and ip.src==192.168.4.36

 

※注：能夠看出，數據是從4.36主機的80端口→1.136目標主機的51511端口。

 

 

6.過濾出網絡範圍爲192.168.4.0/24的數據

表達式：ip.addr==192.168.4.0/24

 

 

捕獲過濾器

     在抓取數據包以前配置的過濾器，抓取符合規則的數據包，丟棄不符合規則的數據包。

例子

1.只捕獲目標端口爲80的TCP數據包

     表達式：tcp dst port 80

 

 

 

2.捕獲目標主機IP地址爲192.168.4.36的數據包，即1.136主機發送出去的數據包

     表達式：dst host 192.168.4.36

 

 

※注：在192.168.1.136主機上ping了192.168.4.36主機產生的數據。

 

 

3.捕獲源主機IP地址爲192.168.4.36的數據包，即響應1.136主機的數據包

表達式：src host 192.168.4.36

 

 

 

 

3.捕獲主機IP地址爲192.168.4.36的數據包

     表達式：src host 192.168.4.36 || dst host 192.168.4.36

 

 

 

 

篩選過濾器（或稱之爲顯示過濾器）

     在抓取到數據包以後進行配置的過濾器。或者是對已經抓取到的流量進行再篩選，找出更加符合須要的數據包。

     表達式能夠經過兩種方式建立：

第一種：經過輸入框建立

 

 

第二種：經過數據包細節面板建立。

 

 

 

 

表達式邏輯關係 (與、或、非)

and       or        not

&&        ||       ! 

 

 

捕獲輸出

    文件格式

         經過capture → Options 打開捕獲輸出選項設置對話框

 

         選擇 Output設置輸出的文件格式，pcapng 或者 pcap

 

 

          例一：當監聽服務器時，因爲數據量很是大，如長時間保存在一個文件中會致使wireshark沒法正常打開保存的文件。這種場合就須要經過自動建立時間間隔文件來保存包文件，每隔n秒自動建立一個數據流量文件。

 

          能夠看到，保存的包文件間隔基本都是10秒。

 

 

          例二：周而復始，循環保存。避免磁盤空間消耗殆盡。

 

 

     Options選項卡

 

 

     雜項設置

         查看Wireshark內置文件路徑

              Help-About Wireshark-Folders

 

 

 

         查看Wireshark插件路徑

              Help-About Wireshark-Plugins，能夠顯示出當前全部插件路徑。

 

 

         更換Wireshark顯示界面