wireshark的使用學習

一款抓包工具

網絡抓包工具對網絡人員的做用，分析網絡通訊真正內容以及故障的處理。至關於網絡分析人員手中的顯微鏡

學習的目的：

      1，爲了後期網絡通信協議作準備

      2，處理網絡問題須要它

      3，跨平臺性，下降學習成本

      4，做爲其餘抓包工具後期分析軟件

展現效果比較好點

主頁面information list：

選擇網卡，咱們能夠看到網卡中包的發送，看包的發送，details是看網卡的詳細信息。選擇結束後點擊start開始抓包

真正的內容在最下面，咱們看到的十六進制

嗅探獲取原始數據---保存數據----分析數據-----多種方式展現數據

協議解碼----數據分析，原理使用庫進行匹配

file  open  支持多種文件類型

指定其中一個數據包，右擊decode as，

能夠選擇以何種凡是傳輸，強制轉換重其餘協議執行，指定協議格式

在抓取數據的同時，咱們能夠隨便來，好比說打開一張圖片，可是不支持格式的，以二進制閱讀的方式展現出來

wireshark設置抓包過濾器

抓的太多有壓力，然而有不少沒有用，壓力太大

抓包的主要問題是選擇

點擊主頁的capture options，在capture fileter處填寫要抓包的東西

填寫tcp src port 443抓取443端口，選擇網卡，開始，start

抓取的全是443端口的tcp協議

不要arp協議的數據

一個表達式

協議名稱+來源+主機+操做符

protocol  可選值，ether tcp  udp ssl等不少種

direction  可選值，來源或者目標src or dst

host  某人爲host ，如主機host（後面一個ip主機），網絡net，port（後面一個端口），postrange（後面端口段）

logical可選值，not，and ，or

優先：not優先，剩下的平級

運算：從左至右

展現過濾器的設置

首先要作的是選擇展現那些數據

tcp.port展現端口爲80的tcp數據

！arp不展現arp協議的數據

ip。addr==ip 只展現地址爲ip的數據，不論來源仍是目標

（ip.dst=192.168.1.12）&&!(ip.dst==192.168.12.2)

GU界面的拯救

過來出來你所須要的協議arp協議，tcp協議

也會選擇根據數據列出來你所須要的數據

查看目標主機是192.168.191.2的主機數據，以及協議是dns的，顯示出來

不想使用的時候，咱們能夠點擊clear，清楚查找

同事呢，咱們能夠添加咱們常常須要的明天，好比說not arp咱們能夠添加一個按鍵，在filter中添加not arp 點擊右邊的save肯定ok 便可，隨便根據要輸入的東西添加按鍵篩選。

抓包的其餘設置項

stop refresh interaction刷新網卡，從新抓取

use 。。。開啓混雜模式，才能抓到一些不是本機的包，另外點擊capture，咱們能夠內部定義一下要抓包的要求

每時每刻都在保存的設置，保存到1中

選擇auto。。。。，會彈出網絡層的一些數據佔用比例

具體分析每個數據包

概述數字排序，表格形式展現的，time毫秒，相對的時間，source來源地址，distations目標地址

pretocol協議，length長度，info數據包的信息

若是說不想看到或者想添加一些信息，咱們能夠右擊info所在那行，選擇columns。彈出來以下的窗口

點擊下面的田間，咱們能夠添加想要看到的信息，

添加絕對時間

右擊，edit columns。。，選擇absolute time，選擇，ok

最上面包的概要，中間分層協議，最後是真正的數據

咱們看到的是wireshark是對數據分析的結果

中間是針對協議分層

包概要的信息

點一下，上面和下面相互對應，證實這些東西真是存在包中，不照應的，沒有變化的是包中沒有的

分析包時右擊菜單的做用

最下面的是以何種模式擦看，二進制仍是十六進制

後面主要是右鍵的操做。不詳細概述了

最上面一看

mak達標特殊顏色

ignore不作分析，無包的展現

set time 參考作時間的參考

time shift  reltime的控制

packtet 註釋沒在第二欄多出添加的註釋，最上面沒有顯示

manual 手動給ip地址取名字，windows沒法添加

con 給予什麼的回話，同事呢，咱們能夠改顏色

follow tcpderam查看發送的包

decode參考

中間的一欄

expengd展開字數

all說有的都展開

cap all全部的都收起來

apply 接受做爲一個列，上面多了frame這一項tcpyes，同事呢，咱們能夠點開看內部的

apply filter 】

比較重要的一點，統計分析

在上面的statistics

summery概要

commnet wirekshork加的

adeesrss 地址解析

display協議的狀況

compare能夠對比包

wireshark自己的設置

來自爲知筆記(Wiz)