Wireshark使用教程（界面說明、捕獲過濾器表達式、顯示過濾器表達式）

1、說明

1.1 背景說明

對於大多數剛開始接觸wireshark的使用者而言，常常是開始的時候時候看到wireshark能把全部數據包都攔截下來以爲強無敵，可是面對一大堆的數據包要問有什麼用或者說想要找到我想要的那些數據包怎麼找（好比telnet登陸過程的那些數據包）則徹底是一臉茫然。

一是界面一堆窗口，什麼做用什麼區別看不懂；二是捕獲、顯示過濾器表達示看不出有什麼規律，每次過濾都要百度找半天。其實wireshark界面仍是比較清晰的，過濾器表過示也不困難，咱們今天就來破解這wireshark使用的兩大難題。

官網地址：https://www.wireshark.org/

官網下載地址：https://www.wireshark.org/#download

安裝就很少說了和通常windows同樣下一步下一下裝就能夠了。另外ethereal爲何在2006年改名wireshark參見：https://www.linux.com/news/ethereal-changes-name-wireshark

 

1.2 攔截本地迴環數據

另外注意本機訪問本機的迴環數據是不通過網卡的，好比咱們在本機訪問搭建在本機上的web服務，但咱們常常有服務搭建在本機的操做也常常有攔截本地迴環數據包加以分析的需求，因此咱們環要攔載迴環數據包。操做以下。

首先，以管理員身份運行cmd（普通用戶沒有路由表操做權限，會提示「請求的操做須要提高」）

而後，使用ipconfig查看本機ip和網關：

ipconfig

再而後，使用如下命令添加路由，指定迴環數據也要先轉發到網關（使用上一步獲取本的本機ip和網關替換其中的<your_IP>和<gateway_IP>）：

route add <your_IP> mask 255.255.255.255 <gateway_IP> metric 1

最後，查看路由表中路由是否已添加成功：

route print

迴環數據經網關再回來會增長網卡的壓力，可以使用如下命令刪除路由（使用前邊獲取本的本機ip替換其中的<your_IP>）：

route delete <your_IP>

 

2、Wireshark界面說明

過濾器表達式書寫是wireshark使用的核心，但在此以前，不少初學者還會碰到一個難題，就是感受wireshark界面上不少東西不懂怎麼看。其實仍是挺明瞭的咱們下面簡單說一下，以下圖。

1號窗口展現的是wireshark捕獲到的全部數據包的列表。注意最後一列Info列是wireshark組織的說明列並不必定是該數據包中的原始內容。

2號窗口是1號窗口中選定的數據包的分協議層展現。底色爲紅色的是由於wireshark開啓校驗和驗證而該層協議校驗和又不正確所致。

3號窗口是1號窗口中選定的數據包的源數據，其中左側是十六進制表示右側是ASCII碼錶示。另外在2號窗口中選中某層或某字段，3號窗口對應位置也會被高亮。

被認爲最難的其實仍是2號窗口展開後的內容不懂怎麼看，其實也很明瞭，以IP層爲例：

每一行就對應該層協議的一個字段；中括號行是前一字段的說明。

冒號前的英文是協議字段的名稱；冒號後是該數據包中該協議字段的值。

 

3、捕獲過濾器表達式

捕獲過濾器表達式做用在wireshark開始捕獲數據包以前，只捕獲符合條件的數據包，不記錄不符合條件的數據包。

捕獲過濾器表達式沒有像顯示過濾器表達式那樣明顯的規律，但寫法很少因此也不難；並且除非所有捕獲要佔用的磁盤空間實現太大，且你很是明確過濾掉的數據包是你不須要的，否則通常都不用捕獲過濾器表達式而用顯示過濾器表達式。

在wireshark2.x版本，啓動後歡迎界面即有捕獲過濾器，在其中輸入過濾表達式開始捕獲數據包時即會生效：

點擊圖中「書籤」標誌，再點管理「捕獲篩選器」，便可看到經常使用捕獲過濾表達示的書寫形式

 

4、顯示過濾器表達示及其書寫規律

顯示過濾器表達式做用在在wireshark捕獲數據包以後，從已捕獲的全部數據包中顯示出符合條件的數據包，隱藏不符合條件的數據包。

顯示過濾表達示在工具欄下方的「顯示過濾器」輸入框輸入便可生效

4.1 基本過濾表達式

一條基本的表達式由過濾項、過濾關係、過濾值三項組成。

好比ip.addr == 192.168.1.1，這條表達式中ip.addr是過濾項、==是過濾關係，192.168.1.1是過濾值（整條表達示的意思是找出全部ip協議中源或目標ip、等於、192.168.1.1的數據包）

4.1.1 過濾項

初學者感受的「過濾表達式複雜」，最主要就是在這個過濾項上：一是不知道有哪些過濾項，二是不知道過濾項該怎麼寫。

這兩個問題有一個共同的答案-----wireshark的過濾項是「協議「+」.「+」協議字段」的模式。以端口爲例，端口出現於tcp協議中因此有端口這個過濾項且其寫法就是tcp.port。

推廣到其餘協議，如eth、ip、udp、http、telnet、ftp、icmp、snmp等等其餘協議都是這麼個書寫思路。固然wireshark出於縮減長度的緣由有些字段沒有使用協議規定的名稱而是使用簡寫（好比Destination Port在wireshark中寫爲dstport）又出於簡使用增長了一些協議中沒有的字段（好比tcp協議只有源端口和目標端口字段，爲了簡便使用wireshark增長了tcp.port字段來同時表明這兩個），但思路總的算是不變的。並且在實際使用時咱們輸入「協議」+「.」wireshark就會有支持的字段提示（特別是過濾表達式字段的首字母和wireshark在上邊2窗口顯示的字段名稱首字母一般是同樣的），看下名稱就大概知道要用哪一個字段了。wireshark支持的所有協議及協議字段可查看官方說明。

4.1.2 過濾關係

過濾關係就是大於、小於、等於等幾種等式關係，咱們能夠直接看官方給出的表。注意其中有「English」和「C-like」兩個字段，這個意思是說「English」和「C-like」這兩種寫法在wireshark中是等價的、都是可用的。

4.1.3 過濾值

過濾值就是設定的過濾項應該知足過濾關係的標準，好比500、5000、50000等等。過濾值的寫法通常已經被過濾項和過濾關係設定好了，只是填下本身的指望值就能夠了。

 

4.2 複合過濾表達示

所謂複合過濾表達示，就是指由多條基本過濾表達式組合而成的表達示。基本過濾表達式的寫法仍是不變的，複合過濾表達示多出來的東西就只是基本過濾表達示的「鏈接詞」

咱們依然直接參照官方給出的表，一樣「English」和「C-like」這兩個字段仍是說明這兩種寫法在wireshark中是等價的、都是可用的。

 

4.3 常見用顯示過濾需求及其對應表達式

數據鏈路層：

篩選mac地址爲04:f9:38:ad:13:26的數據包----eth.src == 04:f9:38:ad:13:26

篩選源mac地址爲04:f9:38:ad:13:26的數據包----eth.src == 04:f9:38:ad:13:26

網絡層：

篩選ip地址爲192.168.1.1的數據包----ip.addr == 192.168.1.1

篩選192.168.1.0網段的數據---- ip contains "192.168.1"

篩選192.168.1.1和192.168.1.2之間的數據包----ip.addr == 192.168.1.1 && ip.addr == 192.168.1.2

篩選從192.168.1.1到192.168.1.2的數據包----ip.src == 192.168.1.1 && ip.dst == 192.168.1.2

傳輸層：

篩選tcp協議的數據包----tcp

篩選除tcp協議之外的數據包----!tcp

篩選端口爲80的數據包----tcp.port == 80

篩選12345端口和80端口之間的數據包----tcp.port == 12345 && tcp.port == 80

篩選從12345端口到80端口的數據包----tcp.srcport == 12345 && tcp.dstport == 80

應用層：

特別說明----http中http.request表示請求頭中的第一行（如GET index.jsp HTTP/1.1），http.response表示響應頭中的第一行（如HTTP/1.1 200 OK），其餘頭部都用http.header_name形式。

篩選url中包含.php的http數據包----http.request.uri contains ".php"

篩選內容包含username的http數據包----http contains "username"

 

參考：

官方文檔：https://www.wireshark.org/docs/wsug_html_chunked/ChapterWork.html

https://blog.csdn.net/readiay/article/details/53063932