Wireshark是非常流行的网络封包分析软件,功能很强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。
为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。

wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark.

例如:

https://www.cnblogs.com/hewenwu/p/3720084.html

wireshark 开始抓包  (绿色包下载网页链接:点此)

开始界面

wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。

点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包

Wireshark 窗口介绍

WireShark 主要分为这几个界面

1. Display Filter(显示过滤器),  用于过滤

2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表

3. Packet Details Pane(封包详细信息), 显示封包中的字段

4. Dissector Pane(16进制数据)

5. Miscellanous(地址栏,杂项)

第 2 页 Wireshark 显示过滤

使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种,

一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录

一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。 在Capture -> Capture Filters 中设置

保存过滤

在Filter栏上,填好Filter的表达式后,点击Save按钮, 取个名字。比如"Filter 102",

Filter栏上就多了个"Filter 102" 的按钮。

过滤表达式的规则

表达式规则

1. 协议过滤

比如TCP,只显示TCP协议。

2. IP 过滤

比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,

ip.dst==192.168.1.102, 目标地址为192.168.1.102

3. 端口过滤

tcp.port ==80,  端口为80的

tcp.srcport == 80,  只显示TCP协议的愿端口为80的。

4. Http模式过滤

http.request.method=="GET",   只显示HTTP GET方法的。

5. 逻辑运算符为 AND/ OR

常用的过滤表达式

过滤表达式 用途
http 只查看HTTP协议的记录
ip.src ==192.168.1.102 or ip.dst==192.168.1.102  源地址或者目标地址是192.168.1.102
   
   

封包列表(Packet List Pane)

封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。 你可以看到不同的协议用了不同的颜色显示。

你也可以修改这些显示颜色的规则,  View ->Coloring Rules.

封包详细信息 (Packet Details Pane)

这个面板是我们最重要的,用来查看协议中的每一个字段。

各行信息分别为

Frame:   物理层的数据帧概况

Ethernet II: 数据链路层以太网帧头部信息

Internet Protocol Version 4: 互联网层IP包头部信息

Transmission Control Protocol:  传输层T的数据段头部信息,此处是TCP

Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议

第 3 页 wireshark与对应的OSI七层模型

TCP包的具体内容

从下图可以看到wireshark捕获到的TCP包中的每个字段。

第 4 页 实例分析TCP三次握手过程

看到这, 基本上对wireshak有了初步了解, 现在我们看一个TCP三次握手的实例

三次握手过程为

这图我都看过很多遍了, 这次我们用wireshark实际分析下三次握手的过程。

打开wireshark, 打开浏览器输入 http://www.cr173.com

在wireshark中输入http过滤, 然后选中GET /tankxiao HTTP/1.1的那条记录,右键然后点击"Follow TCP Stream",

这样做的目的是为了得到与浏览器打开网站相关的数据包,将得到如下图

图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。

第一次握手数据包

客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。 如下图

第二次握手的数据包

服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

第三次握手的数据包

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:

就这样通过了TCP三次握手,建立了连接

使用显示过滤器

显示过滤器应用于捕获文件,用来告诉wireshark只显示那些符合过滤条件的数据包。显示过滤器比捕获过滤器更常用。他可以用来过滤不想看到的数据包,但是不会把数据删除。如果想恢复原状,只要把过滤条件删除即可。

过滤器表达式对话框,是的wireshark的可以很简单的设置过滤表达式。点击“Expression”按钮就可以打开这个对话框。如下图:

对话框分左中右三部分。左边为可以使用的所有协议域。右边为和协议域相关的条件值。中间为协议域与条件值之间的关系。过滤器表达式对于初学者很有用。如上图,我们创建的表达式的作用是,只显示http协议包中包含关键词“bo56.com”的所有数据包。

Field name说明:
这个列表中展示了所有支持的协议。点击前面的三角标志后,可以列出本协议的可过滤字段。当选中“Field name”列表中的任何一项,只需要输入你想要的协议域,就会自动定位到相应的协议域选项。

Relation说明:
is present    如果选择的协议域存在,则显示相关数据包。
contains     判断一个协议,字段或者分片包含一个值
matches             判断一个协议或者字符串匹配一个给定的Perl表达式。

Value(Protocol)说明:
此处输入合适的值。如果选择的协议域和这个值满足Relation中指定的关系,则显示相关数据包。

Predefined values说明:
有些协议域包含了预先定义的值,有点类似于c语言中的枚举类型。如果你选择的协议域包含这样的值,你可以在这个列表中选择。

Function函数说明:
过滤器的语言还有下面几个函数:
upper(string-field)-把字符串转换成大写
lower(string-field)-把字符串转换成小写
upper((和lower((在处理大小写敏感的字符串比较时很有用。例如:
upper(ncp.nds_stream_name) contains "BO56.COM"
lower(mount.dump.hostname) =="BO56.COM"

如果你熟悉了这个规则之后你就会发现手动输入表达式更有效率。当时手动在flter文本框中输入表达时,如果输入的语法有问题,文本框的背景色会变成红色。这时候,你可以继续输入或者修改,知道文本框中的表达式正确后,文本框的背景色又会变成绿色。

Wireshark怎么抓包、wireshark抓包详细图文教程 [最新绿色版本version 2.6.1 ]相关推荐

  1. 【Wireshark系列十】wireshark怎么抓包、wireshark抓包详细图文教程

    wireshark怎么抓包.wireshark抓包详细图文教程 wireshark是非常流行的网络封包分析软件,功能十分强大.可以截取各种网络封包,显示网络封包的详细信息.使用wireshark的人必 ...

  2. 最新MDK软件安装包和芯片包及超详细图文教程来咯!!!

    注意啦!注意了!最新MDK软件安装包和芯片包及详细图文教程来咯!!! 欢迎使用最新MDK软件安装包和芯片包及超详细图文教程 如何安装KEIL5 1.1 温馨提示 1.2 获取KEIL5 1.3开始安装 ...

  3. 安卓小白如何制作一个精简ROOT的卡刷ROM?小白制作ROM包详细图文教程

    安卓小白如何使用最短的时间制作一个精简ROOT的卡刷ROM? 小白用户如何便捷的制作一款属于自己的刷机包? 小白制作刷机包时具体需要什么样的操作步骤? 接下来和大家分享一下小白制作ROM包详细图文教程 ...

  4. CENTOS 7 踢用户_从零学ELK系列(三):Centos安装Docker(超详细图文教程)

    CSDN博客地址(关注,点赞) 人工智能推荐 GitHub(Star,Fork,Watch) [前言] 为了更加真实的模拟生产部署环境,不仅需要Linux环境支持,而且ELK需要在不同的机器上部署:再 ...

  5. 【WiFi密码破解详细图文教程】ZOL仅此一份 详细介绍从CDlinux U盘启动到设置扫描破解

    From: http://softbbs.zol.com.cn/1/32_7991.html 每天都能看到有不少网友在回复论坛之前发布的一篇破解WiFi密码的帖子,并伴随各种疑问.今天流云就为大家准备 ...

  6. 【WiFi密码破解详细图文教程】ZOL仅此一份 详细介绍从CDlinux U盘启动到设置扫描破解-破解软件论坛-ZOL中关村在线...

    [WiFi密码破解详细图文教程]ZOL仅此一份 详细介绍从CDlinux U盘启动到设置扫描破解-破解软件论坛-ZOL中关村在线 好了,先说下提前要准备的东东吧: 1.U盘一枚,最小1G空间.需进行格 ...

  7. vs2019安装python库_vs2019安装和使用详细图文教程

    vs2019已经在4月2日正式发布,vs2019发布会请看这个链接: vs2019和vs2017一样强大,项目兼容,不用互相删除,而且C/C++,Python,F#,ios,Android,Web,N ...

  8. 解决Maven:Cannot resolve com.oracle.ojdbc:ojdbc6:11.2.0.1.0报红找不到问题,解决方案亲测有效详细图文教程 问题描述

    解决Maven:Cannot resolve com.oracle.ojdbc:ojdbc6:11.2.0.1.0报红找不到问题,解决方案亲测有效详细图文教程 问题描述 解决方法 问题描述 有小伙伴遇 ...

  9. Lg手机在linux刷机,LG G3卡刷刷机详细图文教程

    LG G3卡刷刷机详细图文教程,卡刷就是利用第三方recovery来给手机刷入第三方刷机包,还不会的机友,下面一起来看看详细的操作步骤. 准备工作 2.确保手机能用数据线正常的连接电脑,连接电脑是为了 ...

最新文章

  1. docker mysql忽视大小写_Docker安装MySQL忽略大小写问题的问题
  2. OOD沉思录 --- 类和对象的关系 --- 使用关系
  3. 《Effective.Enterprise.Java中文版》知识点摘要
  4. java二叉树删除子树_132-BST删除有一颗子树的结点
  5. Maya+3dsMax三维建模
  6. Vim批量注释、替换和缩进
  7. visual怎么设置默认运行_神马?游戏和软件不能运行?来3DM一下吧!
  8. 在c#使用Windows IOCP(完成端口)编程研究
  9. 新增页和列表页遇到的坑
  10. python私有仓库_创建git私有仓库
  11. SurfaceView实现拍照预览
  12. 微信小程序教学第三章(含视频):小程序中级实战教程:列表-静态页面制作...
  13. 音视频 即时通讯Linux源码
  14. 爬取某类网站并生成csv文件(人民邮电出版社书籍信息)
  15. java.lang.ClassNotFoundException: org.apache.hive.service.cli.thrift.TCLIService$Iface
  16. 加性噪声--传递概率密度函数=噪声概率密度函数
  17. 分类变量、有序变量、数值变量差异分析(二)t检验
  18. 5.1 定积分的概念与性质
  19. 组合数求解与(扩展)卢卡斯定理
  20. Android学习资源汇总

热门文章

  1. 渝北统景碑口规划开发_渝北区御临河碑口水库主体工程开工建设
  2. linux 键盘灯控制软件,LINUX下如何控制小键盘灯的亮和灭
  3. System.Diagnostics.Process.Start的妙用
  4. python自动识别简单图片中的文字
  5. SAP ABAP开发个别概念理论区分理解
  6. 用python写跑酷游戏脚本,用Python写一个天天酷跑
  7. ajax 返回xml 怎么显示显示图片,如何使用jquery和ajax读取,解析和显示xml
  8. Docker 搭建 LNMP + Wordpress
  9. 机器学习(二)-一元线性回归算法(代码实现及数学证明)
  10. 峰会/论坛现场签约怎么签?君子签提供区块链电子签约技术支持