wireshark

目錄

• wireshark
  • 歷史
  • 工做原理
  • 過濾器簡介
  • 顯示過濾器
  • 捕獲過濾器
  • 封包詳細信息

wireshark

歷史

官網

做者 Gerald Combs
前身 Ethereal 
1998年開源發佈 
sectools安全工具榜穩居榜首

工做原理

同類軟件：sniffer、Omnipeek
正常狀況下，網卡收到數據幀時，會查看目的mac和本網卡mac是否相同，不一樣則丟棄，相同則接收幀並提交給上一層處理。對廣播幀，網卡接收但不做處理。
啓動wireshark後，網卡被置爲混雜模式，只要數據幀到達網卡，均交給wireshark處理。

過濾器簡介

• 顯示過濾器，表達式規則:

  協議過濾
  ip過濾
  端口過濾 示例：tcp.port==80
  http模式過濾
  邏輯運算符爲and/or

• 捕獲過濾器

  用來過濾捕獲的封包，以避免捕獲太多的記錄。設置路徑Capture->Capture Filters/捕獲->輸入->最下方填寫過濾器

顯示過濾器

- 適用流量不大的狀況，我的用戶經常使用
ip.addr == 192.168.0.1        //篩選出含有ip地址192.168.0.1的包
ip.src == 192.168.0.1        //篩選出源地址爲192.168.0.1的包
ip.dst == 192.168.0.1        //篩選出目的地址爲192.168.0.1的包
frame.len<=128                //只顯示長度小於128字節的包
tcp.port == 80                //只顯示含有端口80的包
tcp.dstport == 25            //只顯示目的tcp端口爲25的包
tcp.port>1024                //只顯示tcp端口號大於1024的包
http                        //只顯示http協議的包
http or arp                    //只顯示http或ARP協議的包
snmp || dns || icmp            //顯示採用SNMP或dns或icmp協議的包
not arp                        //不顯示arp協議的包
!tcp                        //不顯示tcp協議的包
!(ip.addr == 192.168.0.1)    //排除含有ip爲192.168.0.1的包

捕獲過濾器

• 抓取時的過濾爲了節省性能/老版本選中網卡雙擊後配置再start開始抓包

  語法格式:協議 方向 類型 數據
  協議：ether/ip/arp/tcp/udp/http/ftp/默認使用全部支持的協議
  方向：src/dst/默認使用src or dst 例：host 10.2.2.2例：src or dst host 10.2.2.2
  類型：net/port/host/默認使用 host例：src 10.1.1.1 例：src host 10.1.1.1

• 邏輯運算符

  與 &&
  或 ||
  非 ！
  例：src 192.168.0.10 && port 80 即抓源地址指定源端口或目的端口80的數據包

  例：根據主機名和地址過濾
  host 192.169.0.10 //只抓取ip爲192.169.0.10的數據包
  ether host 00-50-56-C0-00-01 //指定MAC地址過濾
  src host 192.168.0.10 //從192.169.0.10發出的包
  dst host 192.169.0.10 //發往192.169.0.10的包
  ether src host 00-50-56-C0-00-01 //從00-50-56-C0-00-01發出的包
  ether dst host 00-50-56-C0-00-01 //發往00-50-56-C0-00-01的包

  例：根據端口和協議過濾
  port 8080 //只抓端口8080
  !port 8080 //抓端口8080之外的流量
  dst port 8080 //只抓前往端口8080的流量
  icmp //只抓icmp流量
  ！broadcast //不抓廣播包

封包詳細信息

Frame: 
        物理層信息|wireshark添加，捕獲時間+編號+幀長度+幀所含協議
Ethernet II: 
        數據鏈路層信息|目的MAC地址+源MAC地址+上層協議類型+數據字段+校驗
Internet Protocol Version 4:
        網絡層信息|版本、頭部長度、總長度、標誌位、源/目的ip地址、上層協議等
Transmission Control Protocol:
        傳輸層信息|源/目的端口、序列號、指望的下個序列號、確認號、頭部長度、標誌位、窗口長度、校驗和等
Data:
        應用層信息|內容由應用層協議決定、此處爲ftp協議顯示響應內容