wireshark抓包分析
轉載:http://blog.csdn.net/xmtblog/article/details/46473905linux
wireshark抓包分析網絡
wireshark是很是流行的網絡封包分析軟件,功能十分強大。能夠抓取各類網絡包,並顯示網絡包的詳細信息。tcp
開始界面
wireshark是捕獲機器上的某一塊網卡的網絡包,當你的機器上有多塊網卡的時候,你須要選擇一個網卡。ide
點擊Caputre->Interfaces.. 出現下面對話框,選擇正確的網卡。而後點擊"Start"按鈕, 開始抓包工具
Wireshark 窗口介紹
WireShark 主要分爲這幾個界面spa
1. Display Filter(顯示過濾器), 用於過濾.net
2. Packet List Pane(封包列表), 顯示捕獲到的封包, 有源地址和目標地址,端口號。 顏色不一樣,表明blog
3. Packet Details Pane(封包詳細信息), 顯示封包中的字段接口
4. Dissector Pane(16進制數據)ip
5. Miscellanous(地址欄,雜項)
使用過濾是很是重要的, 初學者使用wireshark時,將會獲得大量的冗餘信息,在幾千甚至幾萬條記錄中,以致於很難找到本身須要的部分。搞得暈頭轉向。
過濾器會幫助咱們在大量的數據中迅速找到咱們須要的信息。
過濾器有兩種,
一種是顯示過濾器,就是主界面上那個,用來在捕獲的記錄中找到所須要的記錄
一種是捕獲過濾器,用來過濾捕獲的封包,以避免捕獲太多的記錄。 在Capture -> Capture Filters 中設置
保存過濾
在Filter欄上,填好Filter的表達式後,點擊Save按鈕, 取個名字。好比"Filter 102",
Filter欄上就多了個"Filter 102" 的按鈕。
過濾表達式的規則
表達式規則
1. 協議過濾
好比TCP,只顯示TCP協議。
2. IP 過濾
好比 ip.src ==192.168.1.102 顯示源地址爲192.168.1.102,
ip.dst==192.168.1.102, 目標地址爲192.168.1.102
3. 端口過濾
tcp.port ==80, 端口爲80的
tcp.srcport == 80, 只顯示TCP協議的願端口爲80的。
4. Http模式過濾
http.request.method=="GET", 只顯示HTTP GET方法的。
5. 邏輯運算符爲 AND/ OR
經常使用的過濾表達式
過濾表達式 |
用途 |
http |
只查看HTTP協議的記錄 |
ip.src ==192.168.1.102 or ip.dst==192.168.1.102 |
源地址或者目標地址是192.168.1.102 |
|
|
|
|
封包列表(Packet List Pane)
封包列表的面板中顯示,編號,時間戳,源地址,目標地址,協議,長度,以及封包信息。 你能夠看到不一樣的協議用了不一樣的顏色顯示。
你也能夠修改這些顯示顏色的規則, View ->Coloring Rules.
封包詳細信息 (Packet Details Pane)
這個面板是咱們最重要的,用來查看協議中的每個字段。
各行信息分別爲
Frame: 物理層的數據幀概況
Ethernet II: 數據鏈路層以太網幀頭部信息
Internet Protocol Version 4: 互聯網層IP包頭部信息
Transmission Control Protocol: 傳輸層T的數據段頭部信息,此處是TCP
Hypertext Transfer Protocol: 應用層的信息,此處是HTTP協議
ARP包
IP包
UDP包
TCP包
HTTP包
linux抓包工具tcpdump
tcpdump的選項
· -a —— 將網絡地址和廣播地址轉變成名字
· -d —— 將匹配信息包的代碼以人們可以理解的彙編格式給出
· -dd —— 將匹配信息包的代碼以c語言程序段的格式給出
· -ddd —— 將匹配信息包的代碼以十進制的形式給出
· -e —— 在輸出行打印出數據鏈路層的頭部信息
· -f —— 將外部的Internet地址以數字的形式打印出來
· -l —— 使標準輸出變爲緩衝行形式
· -n —— 不把網絡地址轉換成名字
· -t —— 在輸出的每一行不打印時間戳
· -v —— 輸出一個稍微詳細的信息,例如在ip包中能夠包括ttl和服務類型的信息
· -vv —— 輸出詳細的報文信息
· -c —— 在收到指定的包的數目後,tcpdump就會中止
· -F —— 從指定的文件中讀取表達式,忽略其它的表達式
· -i —— 指定監聽的網絡接口
· -r —— 從指定的文件中讀取包(這些包通常經過-w選項產生)
· -w —— 直接將包寫入文件中,並不分析和打印出來
-T —— 將監聽到的包直接解釋爲指定的類型的報文
示例
在eth2網口抓包,並把結果保存在test.cap文件中,而後直接用wireshark打開該文件就能夠看見包內容。
- 1. WireShark抓包分析
- 2. wireshark抓包分析
- 3. wireshark 抓包分析
- 4. tcpdump抓包wireshark分析
- 5. 用wireshark抓包分析tcp
- 6. wireshark抓包分析UDP
- 7. wireshark抓包簡單分析
- 8. wireshark抓包分析FTP
- 9. tcpdump / wireshark 抓包及分析
- 10. tcpdump抓包與Wireshark分析
- 更多相關文章...
- • 互聯網系統應用架構基礎分析 - 紅包項目實戰
- • 高併發系統的分析和設計 - 紅包項目實戰
- • Git五分鐘教程
- • 算法總結-二分查找法
-
每一个你不满意的现在,都有一个你没有努力的曾经。