wireshark數據包分析工具。非常流行的網絡封包分析軟件,功能屈指可數。wireshark是開源軟件,可以放心使用。
使用范圍也是非常廣的;只要是網絡方面的都會用到這款工具。
來看下界面如下:
上面有個應用顯示過濾器 有以下一些過濾表達式;
雙擊接口就可以開始抓包了。
協議過濾
TCP:只顯示TCP協議的數據流
HTTP:只顯示HTTP協議的數據流
ICMP:只顯示ICMP協議的數據流
ARP:只顯示ARP協議的數據流
DNS:顯示DNS協議的數據流
IP過濾
ip.addr = 192.168.1.1,只顯示ip為192.168.1.1有關的數據流
ip.src = 192.168.1.1,只顯示源IP地址為192.168.1.1的數據流
ip.dst = 192.168.1.1,只顯示目標IP地址為192.168.1.1的數據流
端口過濾
tcp.port == 80,只顯示80端口TCP數據流
udp.prot == 67,只顯示67端口UDP數據流
tcp.srcport == 80, 只顯示源地址的80端口數據流
tcp.dstport == 80,只顯示目的地址80端口數據流
過濾HTTP協議
http.request.method=="GET",顯示get請求
http.request.method=="POST" ,顯示POST請求
http.request.url contains admin ,顯示url中包含admin的 請求
http.request.code==404,顯示狀態碼為404
連接符
and,or
如tcp.port == 80 and ip.addr = 192.168.1.1
wireshark著色規則:
菜單欄里面有個視圖-里面有個著色規則
顏色可以快速區別是哪種數據流。
有波浪線就代表有數據流,下面我們雙擊wlan看下效果
雙擊進去就如下圖:
Wireshark數據包的結構
第1行:數據包整體概述,內容比較多。
第2行:數據鏈路層詳細信息,主要為mac地址。
第3行:網絡層詳細信息,主要的是雙方的IP地址。
第4行:傳輸層的詳細信息,主要的是雙方的端口號。
第5行:TCP或UDP是傳輸的DATA,DNS這是域名的相關信息。
