Wireshark使用详解
文章目录
- wireshark简介
- 抓包原理
- 抓包
- 抓包窗口介绍
- 封包详细信息 (Packet Details Pane)
- 过滤信息介绍
- 显示过滤
- 抓包过滤
- 高级功能
- 数据流追踪
wireshark简介
wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。
wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark
如果测试本地地址,需要在本地环回口测试,如果去外网,需要在WLAN接口测试,如果是VPN,需要用
抓包原理
那种网络情况能够抓包
- 本机环境:直接抓包本机网卡进出流量
- 集线器环境:一台服务器向另一台服务器发送数据包时经过集线器,集线器会把数据包发送给连接集线器的所有电脑
- 交换机环境:和集线器的原理差不多,但是更精确,可以配置端口镜像,ARP欺骗,MAC泛洪,其中端口镜像是比较常用的,MAC泛洪是发一些垃圾包,垃圾包携带大量MAC地址,将想要抓包的电脑的MAC挤出交换机的MAC列表,交换机找不到对应的MAC地址,就会给所有的MAC列表的电脑发送。
抓包
点击Caputre->Interfaces… 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包
抓包窗口介绍
封包详细信息 (Packet Details Pane)
- Frame: 物理层的数据帧概况
- Ethernet II: 数据链路层以太网帧头部信息
- Internet Protocol Version 4: 互联网层IP包头部信息
- Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP
- Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议
- Line-based text data:http返回的页面信息
ip头部和网络层的对应关系
过滤条件中的ip和port就是ip头部的目标或源ip/port
过滤信息介绍
过滤信息分两种,一种是抓包过滤器,一种显示过滤器,顾名思义,抓包过滤器就是抓包的时候只抓取满足过滤器条件的信息,显示过滤器就是把抓包结果只显示满足过滤器的信息。
显示过滤
表达式规则
- 协议过滤
比如TCP,只显示TCP协议。 - IP 过滤
比如 ip.src 192.168.1.102 显示源地址为192.168.1.102,
ip.dst192.168.1.102, 目标地址为192.168.1.102 - 端口过滤
tcp.port ==80, 端口为80的
tcp.srcport == 80, 只显示TCP协议的愿端口为80的。 - Http模式过滤
http.request.method==“GET”, 只显示HTTP GET方法的。
抓包过滤
使用抓包过滤器前需要先选择网卡,否则输入过滤规则后显示红色
类型Type:host、net、port
方向Dir:src、dst
协议protocol:ether、ip、tcp、udp、http、ftp
逻辑运算符:&& 与、|| 或、!非
举例说明:
- src host 192.168.48.116 && dst post 80 抓取源地址为192.168.48.116 并且目的端口为80的信息
- !broadcast 不要抓取广播包
- ether src host 1C:99:57:1F:56:4E 抓取源MAC地址是1C:99:57:1F:56:4E 的信息
高级功能
数据流追踪
选中一条抓包信息右击,选中追踪流,再选中HTTP流或者TCP流等其他流,可查看如下图所示的信息
路径信息,返回信息,返回服务器,包括返回内容信息
查看对应的请求和响应
可选择如何解码信息
可参考https://blog.csdn.net/weixin_43790613/article/details/113358979
参考:https://blog.csdn.net/qq78069460/article/details/79153895
Wireshark使用详解相关推荐
- 【linux】【tcpdump】linux之tcpdump抓包及wireshark分析详解
linux的tcpdump命令主要用于网络问题的调试中,通过抓取传输过程的数据包进行分析和调试.而wireshark则是一款功能强大,使用方便的数据包分析工具,tcpdump+wireshark组合使 ...
- TCP协议---三次握手和四次挥手详解 (不看后悔系列)
目录 TCP协议简介 TCP报头 TCP工作原理 科来解码详解 wireshark解码详解 三次握手和四次挥手 数据包的大致结构 你不知道的三次握手 为什么需要有三次握手? 为啥只有三次握手才能确认双 ...
- TCP/IP详解卷1 - wireshark抓包分析
TCP/IP详解卷1 - 系列文 TCP/IP详解卷1 - 思维导图(1) TCP/IP详解卷1 - wireshark抓包分析 引言 在初学TCP/IP协议时,会觉得协议是一种很抽象的东西,通过wi ...
- 网络流量分析详解(包含OSI七层模型、TCP协议及Wireshark工具用法)
网络流量分析 Network Traffic Analysis(NTA) 这个系列讲的是整个网络流量分析流程,其中包含TCP协议.HTTP协议详解和Wireshark.Tcpdump的详细用法,现在只 ...
- HTTP协议版本介绍以及使用Wireshark工具针对HTTP进行抓包分析详解
一.http协议版本介绍 http:Hyper Text Transfer Protocol 超文本传输协议,是互联网应用最为广泛的一种网络协议,主要用于Web服务.通过计算机处理文本信息,格式为HT ...
- ARP协议详解之ARP动态与静态条目的生命周期
ARP协议详解之ARP动态与静态条目的生命周期 ARP动态条目的生命周期 动态条目随时间推移自动添加和删除. q 每个动态ARP缓存条目默认的生命周期是两分钟.当超过两分钟,该条目会被删掉.所以,生 ...
- nbns协议_网络协议详解1 - NBNS
NetBIOS 简介 NetBIOS,Network Basic Input/Output System的缩写,一般指用于局域网通信的一套API,相关RFC文档包括 RFC 1001, RFC 100 ...
- 【转】HTTP协议详解
原文地址:http://www.cnblogs.com/EricaMIN1987_IT/p/3837436.html 一.概念 协议是指计算机通信网络中两台计算机之间进行通信所必须共同遵守的规定或规则 ...
- http三次握手四次挥手详解
相对于SOCKET开发者,TCP创建过程和链接折除过程是由TCP/IP协议栈自动创建的.因此开发者并不需要控制这个过程.但是对于理解TCP底层运作机制,相当有帮助. 而且对于有网络协议工程师之类笔试, ...
最新文章
- linux ip add em,使用iproute2为linux网关设置vlan
- idea 生成sdk,如何安装独立的Android SDK,然后将其添加到Windows上的IntelliJ IDEA?
- 新的JMetro JavaFX 11兼容版本
- ds排序--希尔排序_图解直接插入排序和希尔排序
- 数据库事务的隔离机制
- Detours的作用和实例(hook、钩子)
- 中小企业信息管理 巧用E-Cell
- Python 字典(Dictionary) values()
- mysql的游标处理_MySQL存储过程 游标 错误处理的示例代码
- Context与ApplicationContext
- mysql自助完成翻页代码_MySql实现翻页查询功能
- [病毒分析]熊猫烧香(上)初始分析
- 计算机模运算规则,补码,模运算和溢出
- python打包加壳_转:Python用PyInstaller打包笔记
- 大数据面试题知识点分析(十一)之Flume面试真题及答案
- php mb_eregi_replace 只替换一个,php正则ereg ereg_replace eregi eregi_replace split
- 正高职称 程序员_软考通过之后,如何评职称呢?
- 简单的动画(梦幻西游)
- linux rescue u盘,linux 0-rescue
- coffeescript html5,CoffeeScript入门