1、简介
Wireshark是目前全球使用最广泛的开源抓包软件。可以对网络进行故障定位、对网络黑客攻击进行快速定位、分析底层通信机制等。
2、Wireshark安装
下载地址:Wireshark · Go Deep.https://www.wireshark.org/
3、界面介绍
如果打开发现没有接口,是因为wireshark自带的Npcap不支持win10,需要下载Win10Pcap。下载地址:Win10Pcap Download - WinPcap for Windows 10http://www.win10pcap.org/download
下载安装后就可以看到接口了
选择以太网就进入了抓包界面
4、过滤器设置
4.1、捕获过滤器
使用捕获过滤器可以只捕获我们需要的数据包
4.1.1、语法
<Protocol> <Direction> <Host> <Value> <Logical Operation> <other expression>
协议(Protocol):ether,ip,tcp,udp,http,ftp //默认使用所有协议
方向(Direction):src(源地址),dst(目的地址) //默认为src or dst
主机地址(Host):host(主机),net(网段),port(端口) //默认为host
逻辑运算符(Logical Operations):&&(and),||(or),!(not)
4.1.2、例子
过滤mac地址:
ether host 2C-F0-5D-AA-DE-27 //捕获该mac地址上的所有数据包
ether src host 2C-F0-5D-AA-DE-27 //捕获从该mac地址发出的数据包
过滤ip地址:
host 127.0.0.1 //捕获该ip地址上所有收发的数据包
host dst 127.0.0.1 //捕获发往该ip地址的数据包
过滤端口:
port 80 //捕获80端口上的所有数据包
其他:
src host 127.0.0.1 && src port 10010 //捕获从该ip地址和端口发出的数据包
host 192.168.1.110 || host 192.168.1.111 //抓取192.168.1.110和192.168.1.111的数据
4.1.3、捕获过滤器位置
4.2、显示过滤器
如果我们捕获了所有的数据包,可以使用显示过滤器,只显示我们需要分析的数据包。
4.2.1、语法
ip地址:ip.addr ip.src ip.dst
端口过滤:tcp.port tcp.srcport tcp.dstport
协议过滤:ip tcp udp http
逻辑操作符:and or not
比较操作符:== != > >= < <=
4.2.2、例子
过滤ip地址:
ip.addr == 192.168.1.1 //显示该ip地址所有数据包
ip.src == 192.168.1.1 //显示从该ip地址发出的数据包
过滤端口:
tcp.port == 80 //显示使用tcp协议发往和接收80端口的数据包
tcp.dst == 80 //显示使用tcp协议发送到80端口的数据包
tcp.flags.syn == 1 //显示syn标志位为1的数据包
过滤协议:
http //只显示http协议的所有数据包
4.2.3、显示过滤器位置