Wireshark抓包软件简单用法(协议分析/数据分析)

有运维或运维开发方面的需求,可以联系博主QQ 452336092或Email:admin#centos.bz(收费)

文章目录
[隐藏]

目前抓包软件比较多,目前我们用的最多的是wireshart和linux下的tcpdump,其中tcpdump不直观,但可以抓包保存为文件以后使用wireshark进行分析。这里简单记录下wireshark的使用。

说明:
1,抓包需要对TCP/IP协议栈有一定的了解,如果不清楚这块,还是需要先梳理网络知识以及TCP/IP协议栈。
2,wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容。
如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark.

一、软件界面介绍

首先了解下界面:

上图简单说明

(1),主菜单

用于控制整个软件使用,捕获动作、搜索、视图如何显示、过滤规则、拆分、统计等等。

(2),常用按钮

常用按钮从左到右的功能依次是(注意不同版本不一样,大同小异):

1、新捕获抓包。
2,停止捕获抓包。
3,重新开始当前捕获。
4,设置捕获接口,以及捕获文件格式、日志文件自动生成。
5,打开抓包文件。可以打开之前抓包保存后的文件。不仅可以打开wireshark软件保存的文件,也可以打开tcpdump使用-w参数保存的文件。
6、保存文件。把本次抓包或者分析的结果进行保存。
7,关闭打开的文件。文件被关闭后,就会切换到初始界面。
8、重载抓包文件。

(3)小技巧:

软件最后一个抓取的单个数据包没有被格式化的,我们一般不将其显示;时间显示一般会根据实际需要进行显示,到视图那里设置。

二、如何使用wireshark抓包分析

1、设置数据抓取选项。 通过捕获接口指定哪个网卡,开始抓包,这里会抓取所有的包。

期间过滤器那里可以指定要抓取指定协议的数据包,比如我们可以填写http、https、tcp、arp等

2、通过捕获接口指定哪个网卡,设置过滤规则,比如这里指定本地网卡,抓取80端口的包

抓取效果如下:

3、使用显示过滤器

很多时候抓的包都不是需要的,我们可以使用过滤器捕获自己需要的包。显示过滤器应用于捕获文件,用来告诉wireshark只显示那些符合过滤条件的数据包。他可以用来过滤不想看到的数据包,但是不会把数据删除。如果想恢复原状,只要把过滤条件删除即可。比如我们这里只抓baidu.com的包:

点击表达式,生成规则,进行过滤。条件选取完以后会声场需要的过滤器指令,可以通过显示过滤器那里直接使用。

表达式对话框分左中右三部分。左边为可以使用的所有协议域。右边为和协议域相关的条件值。中间为协议域与条件值之间的关系。过滤器表达式对于初学者很有用。如上图,我们创建的表达式的作用是,只显示http协议包中包含关键词“baidu.com”的所有数据包。

字段说明:
这个列表中展示了所有支持的协议。点击前面的三角标志后,可以列出本协议的可过滤字段。当选中“Field name”列表中的任何一项,只需要输入你想要的协议域,就会自动定位到相应的协议域选项。

关系说明:
is present 如果选择的协议域存在,则显示相关数据包。
contains 判断一个协议,字段或者分片包含一个值
matches 判断一个协议或者字符串匹配一个给定的Perl表达式。

值说明:
此处输入合适的值。如果选择的协议域和这个值满足Relation中指定的关系,则显示相关数据包。

预定义值说明:
有些协议域包含了预先定义的值,有点类似于c语言中的枚举类型。如果你选择的协议域包含这样的值,你可以在这个列表中选择。

如果你熟悉了这个规则之后你就会发现手动输入表达式更有效率。当时手动在filter文本框中输入表达时,如果输入的语法有问题,文本框的背景色会变成红色。这时候,你可以继续输入或者修改,知道文本框中的表达式正确后,文本框的背景色又会变成绿色

参考资料:

wireshark怎么抓包、wireshark抓包详细图文教程: https://blog.csdn.net/holandstone/article/details/47026213
网络抓包工具 wireshark 入门教程:https://www.cnblogs.com/52php/p/6262956.html

原文出处:21yunwei -> http://www.21yunwei.com/archives/6642

打赏

如果此文对你有所帮助,请随意打赏鼓励作者^_^