网络封包分析软件——Wireshark抓包教程
Wireshark简介
Wireshark(前称Ethereal)是一个网络封包分析软件。 网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。 Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。 Ethereal的出现改变了这一切。 在GNUGPL通用许可证的保障范围底下,使用者可以通过免费的途径取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。 Ethereal是全世界最广泛的网络封包分析软件之一。
Wireshark抓包示例
1、下载并且安装好Wireshark后打开软件(本文以Wireshark Version 3.4.9 介绍)打开后我们可以看到,Wireshark可以自动识别出电脑上面的网卡(包括虚拟网卡),这里我们双击我们需要抓包的网卡。
2、双击进入此界面后,Wireshark已经自动开始了抓包过程,如果网卡在与其他网络设备通讯,我们就能看到如下图所示的各种网络协议报文。
3、平 www.ebyte.com
4、由于Wireshark抓取的是网卡物理层的数据,所以所有通过该网卡收发的数据都会被Wireshark抓取,这就让我们从海量数据中找到我们需要关注的网络包就如同大海捞针,但是Wireshark提供了强大的数据包过滤功能,我们就能比较轻松地找到对应的包。 比如上面我已经ping了我司官网,现在Wireshark已经抓取了两万多条报文,只要通过在过滤器输入”ip.addr == 101.37.40.78 && icmp“就能找到对应的报文。
TCP报文抓包分析示例
1、Wireshark的抓包
开启Wireshark的抓包功能后,通过电脑连接到本地搭建的回显服务器,电脑上面的客户端发送了一段数据到服务器,服务器回传到电脑上的客户端。
2、过滤报文
此时我们在Wireshark的过滤栏中输入“ip.addr == 192.168.3.6”就能过滤出网络报文中基于IP协议簇,且IP地址(源地址或目标地址)为192.168.3.6的网络报文。 如下图所示:
Wireshark在封包展示界面中根据网络协议模型,展示出了各层协议的重要信息如下图所示:
Frame:表示物理层
Ethernet II:数据链路层信息,包括源主机MAC,目标主机MAC与协议类型如IPV4(0x0800)
Internet Protocol Version 4:IP协议帧信息,包括源主机IP地址,目标主机IP地址等
Transmission Control Protocol:TCP协议相关信息,包括源端口与目标端口号,接收窗口大小等
3、TCP握手过程
Wireshark常用过滤器设置
1、Wireshark中的逻辑运算符
1.1 比较运算符如:== (等于)、! =(不等于) 、>(大于) 、<(小于) 、>=(大于等于) 、<=(小于等于)
ip.src == 192.168.3.6 过滤源主机IP地址或者目标主机IP地址为192.168.3.6的报文
1.2 逻辑运算符如:&&(与)、|| (或)、! (非)
ip.src == 192.168.3.6 && && tcp.srcport == 8001,则只显示报文源主机地址为192.168.3.6且源端口为为8001的报文
2、协议过滤
根据网络协议过滤报文,即在抓包过滤框中输入协议相关字段即可,包括”TCP”,”UDP””HTTP””ICMP”等。
3、MAC地址过滤
eth.addr == 382602:dd 过滤源主机MAC地址或者目标主机MAC地址为382602:dd的报文
eth.src== 382602:dd 过滤源主机MAC地址为382602:dd的报文
eth.dst== 382602:dd 过滤目标主机MAC地址为382602:dd的报文
4、ip地址过滤
Ip.addr == 192.168.3.6 过滤源主机IP地址或者目标主机IP地址为192.168.3.6的报文
Ip.src== 192.168.3.6 过滤源主机IP地址为192.168.3.6的报文
ip.dst == 192.168.3.240 过滤目标主机IP地址为192.168.3.240的报文
5、端口过滤
tcp.port==80 过滤基于TCP协议且目标端口号或源端口号为80的报文
udp.srcport == 8001 过滤基于UDP协议且端口号为8001的报文
tcp.dstport == 8001 过滤基于TCP协议且目标端口号为8001的报文
6、http模式过滤
http.request.method=="GET", 过滤基于http协议且http请求方式为”GET”的报文
审核编辑:汤梓红
-
网络
+关注
关注
14文章
7597浏览量
89159 -
Mac
+关注
关注
0文章
1109浏览量
51632 -
源代码
+关注
关注
96文章
2946浏览量
66896 -
分析软件
+关注
关注
0文章
29浏览量
7145 -
Wireshark
+关注
关注
0文章
49浏览量
6541
原文标题:干货丨网络封包分析软件——Wireshark抓包教程
文章出处:【微信号:cdebyte,微信公众号:亿佰特物联网应用专家】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
Wireshark抓包和Tcpdump抓包实例分析
wireshark2——ubuntu系统下wireshark普通用户抓包设置
wireshark抓包数据分析问题
Wireshark数据抓包网络协议的分析
工商网监
评论