wireshark使用全解笔记【2.4.5.0版本】
前言
西普教育的铁三训练营的课程有很详细的关于wireshark视频教程,正好对wireshark这款神器也不是太熟悉,一边学习补漏,一边做一个学习笔记与大家分享
页面功能简介
- 主界面中,波动的线代表网卡传输信息的波动,以实际网卡为准。如图:
- 封包列表,表示所有捕获的数据包。这里可以观察到发送方的IP地址,接收方的IP地址,协议端口号,以及封包内容。如图:
- 封包列表信息中显示被选中项目的详细信息,信息按照不同OSI layer进行分组,可以分别点开查看。如图:
- 解析器,在Wireshark中也被叫做16进制数据查看面板。显示内容与封包详细信息中相同,只是以16进制的格式或者二进制的格式显示,右键在解析器空白处单击,即可切换以16进制或者二进制格式显示。如图:
- 从左到右,分别为启动按钮,停止按钮,重新启动按钮,网卡接口设置按钮。如图:
- 图中分5个矩形将按钮分组,从左到右分别为:第一个分组,捕获的数据包文件操作。第二个分组,数据包的组操作。第三个分组,捕获的数据包滚动并将不通的协议进行颜色标注。第四个分组,调整文字大小。第五个分组自动选择合适的距离完整显示封包列表的各项内容。如图:
- 显示过滤器,它是wireshark特别重要的功能,有了它就可以通过特定过滤规则让wireshark只显示我们需要查看的数据包。如图:
实验一:抓取ping包筛选并保存
- windows打开cmd,运行命令
ping baidu.com -t
,如图:
- 点击捕获选项,选择为当前连接的wlan,点击开始捕获,一段时间后停止捕获,通过过滤器即可完整看到icmp协议的ping baidu包,如图:
wireshark统计功能介绍
- 正常流程完成wlan抓包,菜单栏中选择“统计”—〉“捕获文件属性”;弹出“捕获文件属性”对话框。显示捕获文件的一般信息,第一个包和最后一个包的时间戳,以及文件捕获于哪一个接口;在定义过滤条件的时候,将显示过滤后的数据,以及平均报文数,字节数。如图:
- 关闭“捕获文件属性”对话框,选择“统计”—>“协议分级”;协议分级统计窗口显示为,捕捉文件包含的所有协议和树状分支。分组百分比永远参照的是相同协议层。如图:
- 关闭协议分级统计对话框,选择“统计”→“对话”;通过选项卡选择,即可调整显示的数据。第一层为以太网统计数据,第二到三层为IPv4和IPv6统计数据。第四层和第五层为TCP和UDP统计数据。右下角的选项卡还可以选择更多选项,如图:
- 关闭conversations对话框,在菜单栏中选择“统计”→“Http”→“请求”;通过对话框可以观察到,所有的http请求数据统计结果。如图:
wireshark显示过滤器介绍
- 介绍
- 显示过滤器为了进行分析帮助,将不需要或者是已经排除的数据包进行显示屏蔽。
- 显示过滤器是在已经捕获的数据包中进行查找然后根据定义的表达式进行区别显示。
- 显示过滤器是一种更为强大(复杂)的过滤器。
- 它允许您在日志文件中迅速准确地找到所需要的所有记录。通常经过捕捉过滤器过滤后的数据还是很复杂。此时您可以使用显示过滤器进行更加细致的查找。
- 它的功能比捕捉过滤器更为强大,而且在您想修改过滤器条件时,并不需要重新捕捉一次。
- 过滤器语法结构
|语法:| Protocol |Direction |Host(s) |Value |Logical Operations |Other expression|
| ------------- |:-------------? -----?
|例子: |tcp |dst |10.1.1.1 |80 |and |tcp dst 10.2.2.2 3128
示例:
(host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8
捕捉IP为10.4.1.12
或者源IP位于网络10.6.0.0/16
,目的IP的TCP端口号在200
至10000
之间,并且目的IP位于网络 10.0.0.0/8
内的所有封包。
- 最简单的显示过滤器可基于协议,应用,域名或者字符进行编写。对大小写敏感,绝大多数简单的显示过滤器表达式由小写字母组成。
wireshark自带快捷显示过滤器语法支持
wireshark过滤匹配表达式实例
1、 搜索按条件过滤udp
的数据段payload
(数字8是表示udp
头部有8个字节,数据部分从第9个字节开始udp[8:]
)
udp[8]==14
(14是十六进制0x14)匹配payload第一个字节0x14的UDP数据包udp[8:2]==14:05
可以udp[8:2]==1405,且只支持2个字节连续,三个以上须使用冒号:分隔表示十六进制。
(相当于 udp[8]==14 and udp[9]==05,1405是0x1405)udp[8:3]==22:00:f7
但是不可以udp[8:3]==2200f7udp[8:4]==00:04:00:2a
匹配payload的前4个字节0x0004002audp contains 7c:7c:7d:7d
匹配payload中含有0x7c7c7d7d的UDP数据包,不一定是从第一字节匹配。
**2、**搜索按条件过滤tcp
的数据段payload
(数字20是表示tcp
头部有20个字节,数据部分从第21个字节开始tcp[20:]
)
tcp[20:] matches "^GET [ -~]*HTTP/1.1\\x0d\\x0a"
等同http matches "^GET [ -~]*HTTP/1.1\\x0d\\x0a"tcp[20:] matches "^GET (.*?)HTTP/1.1\\x0d\\x0a"
tcp[20:] matches "^GET (.*?)HTTP/1.1\\x0d\\x0a[\\x00-\\xff]*Host: (.*?)pplive(.*?)\\x0d\\x0a"
tcp[20:] matches "^GET (.*?)HTTP/1.1\\x0d\\x0a[\\x00-\\xff]*Host: "
tcp[20:] matches "^POST / HTTP/1.1\\x0d\\x0a[\\x00-\\xff]*\\x0d\\x0aConnection: Keep-Alive\\x0d\\x0a\\x0d\\x0a"检测SMB头的smb标记,指明smb标记从tcp头部第24byte的位置开始匹配。
tcp[24:4] == ff:53:4d:42检测SMB头的smb标记,tcp的数据包含十六进制ff:53:4d:42,从tcp头部开始搜索此数据。
tcp contains ff:53:4d:42
tcp matches "\\xff\\x53\\x4d\\x42"检测tcp含有十六进制01:bd,从tcp头部开始搜索此数据。
tcp matches "\\x01\\xbd"检测MS08067的RPC请求路径
tcp[179:13] == 00:5c:00:2e:00:2e:00:5c:00:2e:00:2e:00
**3、**其他
http.request.uri matches ".gif$"
匹配过滤HTTP的请求URI中含有".gif"字符串,并且以.gif结尾(4个字节)的http请求数据包($是正则表达式中的结尾表示符)注意区别:
http.request.uri contains ".gif$" 与此不同,contains是包含字符串".gif$"(5个字节)。
匹配过滤HTTP的请求URI中含有".gif$"字符串的http请求数据包(这里$是字符,不是结尾符)eth.addr[0:3]==00:1e:4f
搜索过滤MAC地址前3个字节是0x001e4f的数据包。
注:符号就是正则里的基本用法,略过
wireshark使用全解笔记【2.4.5.0版本】相关推荐
- 全功能笔记软件 Notion v2.0.4 绿色便携版
Notion 是一款「将笔记.知识库和任务管理无缝整合的协作平台」.它具有无限的层级和相互链接的组织弹性,给笔记间的关系提供了足够自由的组织方式:它排版灵活,能够把笔记里的内容按块(Block)进行组 ...
- 快手+中科大 | 全曝光推荐数据集KuaiRec 2.0版本
嘿,记得给"机器学习与推荐算法"添加星标 作者:高崇铭 单位:中国科学技术大学博士生,快手实习 在沉淀了一段时间后,我们推出了数据集KuaiRec的2.0版本.这是由我们中科大何向 ...
- 6.wireshark使用全解
开始之前先推荐一个wireshark视频: http://www.shiyanbar.com/course-video/watchVideo/cid/419/vid/2001 页面功能简介 1.主界面 ...
- python100个必背知识-python编程面试中必考的知识点,数据类型全解,笔记超全面...
原标题:python编程面试中必考的知识点,数据类型全解,笔记超全面 python作为一门高级编程语言,它的定位是优雅.明确和简单.阅读Python编写的代码感觉像在阅读英语一样,这让使用者可以专注于 ...
- python面试必考知识点_python编程面试中必考的知识点,数据类型全解,笔记超全面...
原标题:python编程面试中必考的知识点,数据类型全解,笔记超全面 python作为一门高级编程语言,它的定位是优雅.明确和简单.阅读Python编写的代码感觉像在阅读英语一样,这让使用者可以专注于 ...
- CSS入门笔记5(浏览器渲染,CSS动画全解)
CSS动画 要说的话 i.动画是什么呢? ii.怎么写出动画效果呢? iii.和动画息息相关的是浏览器的渲染 1) 浏览器渲染过程 2)怎么更新样式呢? 3)这些方式有三种不同的渲染方式* 4)三种更 ...
- XSS学习笔记:XSS Game(xss.pwnfunction.com)1-11通关全解
前言 继续学习XSS 本篇是XSS Game平台的通关全解 1.Ma Spaghet! 源码 一个不安全的方式 直接get传输somebody 输入123看看位置 ?somebody=123 那就很简 ...
- 技术-2022-05-《Spring cloud Alibaba全解》阅读笔记
技术-2022-05-<Spring cloud Alibaba全解> 创建时间: 2022/5/22 15:21 更新时间: 2023/2/17 8:52 作者: HelloXF 第一章 ...
- Mybatis系列全解(八):Mybatis的9大动态SQL标签你知道几个?提前致女神!
封面:洛小汐 作者:潘潘 2021年,仰望天空,脚踏实地. 这算是春节后首篇 Mybatis 文了~ 跨了个年感觉写了有半个世纪 - 借着女神节 ヾ(◍°∇°◍)ノ゙ 提前祝男神女神们越靓越富越嗨森! ...
最新文章
- IntelliJ IDEA下自动生成Hibernate映射文件以及实体类
- 用一个创业故事串起操作系统原理(四)
- python null byte_如何以“正确”的方式处理带有nullbytes的Python unicode字符串?
- 【转】ubuntu 下安装mongodb php 拓展的方法
- ABAP Subscreen and tabstrip controls
- 将自己的类封装为lib的方法
- 把准脉搏 U-Mail邮件系统2014开足马力
- raw input()和input区别
- [转载] Python 继承
- TextureMerger1.6.6 一:Egret MovieClip的制作和使用
- laravel 社会化(联合)登录扩展包(QQ、微信、微博等)
- jmeter测试mysql数据库_【JMeter】JMeter完成一个MySql压力测试
- xshell官网下载及安装(免费版本)
- matlab表示开方,在MATLAB内置功能中,‘sqrt(a)’表示() 答案:对a开方
- 选择图片未经后端显示预览图片
- myeclipse中设置括号匹配颜色
- U-Boot参数设置 .
- sklearn之pipeline:pipeline函数/make_pipeline函数的简介及其区别联系、使用技巧、案例应用之详细攻略
- 项目管理资格认证PMP考前培训班
- 计算机专业英语中tour的意思,tour旅游 (英语小记)
热门文章
- Ubuntu16.04 系统重启崩溃,数据没有备份怎么办
- eNSP NAT 转换和映射
- pyecharts基础笔记
- 开源数据访问组件Smark.Data 1.8
- Photoshop滤镜打造精致水晶美女头像(转)
- 干货满满:FCPX安装插件路径以及如何彻底删除插件(也适用于m1芯片)
- React Native Animated动画
- 基于云开发的微信小程序-miNi相册(开发环境介绍与登录)
- IntelliJ IDEA 2021免费激活码正规申请方法(IDEA官方激活注册码)
- MySQL学习笔记 | 04 - MySQL数据库基本操作(增加、修改、删除、查看)