Wireshark 的基本使用
Wireshark 是一款功能强大的抓包工具,可以让我们了解网络传输的细节,比如用于了解经典的
三次握手
、四次握手
,化抽象为具体。本文将介绍 Wireshark的简单使用。
安装 Wireshark
Wireshark 可以做什么?
Wireshark 可以截取指定 host、协议 的信息流,并且可以按照协议类型、IP、端口、不同编码格式对信息流进行查看,而且可以追踪某一个信息流。可以讲获取的信息流保存以便于以后再次查看。
Wireshark 的简单操作
- 打开 Wireshark
选择 Wireshark Legacy
选择监听的网卡
这个要看你计算机的联网方式,比如是通过有线网卡或者无线网卡,这里我使用无线网卡。如果你想监听多个网卡,则点击
Interface List
Start Or Start a capture with detailed options
在选择好要监听的网卡之后,我们有两种方式开始捕获网络上的信息流,如上图所示,一种是
Start
,一种是Capture Options
。前者会直接开始捕获信息流,你可以先点进去体验一下,在不启用任何过滤措施的情况下,信息显得有些乱。后者可以对捕获的信息有一个基本设置,点击确定之后,进入的页面和前者一样,然后可以对捕获的结果做进一步的过滤。
点击 Capture Options
设置 Capture Filter,设置捕获条件
你可以直接在后面输入过滤命令,如果格式正确输入框将会变成绿色,你也可以使用后面的按钮
Compile selected BPFs
,会得到一些有效信息,这个按钮不是必须的。
如果你还不熟悉命令,可以点击Capture Filter
按钮,从中选择一个作为模板。比如下图,捕获过滤条件是ip地址 192.0.2.1 的信息流(192.0.2.1 发出的或者接收到的信息流)
点击 Start 开始捕获
点击 Start 将进入到下面的页面
1 是刷新的作用,他左边的红色按钮可以终止捕获;
2是对捕获结果进行二次过滤;
3是捕获到的具体的一条信息流,或者你也可以叫做报文,尽管这个名称并不适合于所有协议。
设置 Filter
比如我想知道来自ip 192.168.1.106 的访问,或者目标地址为 192.168.1.106 的访问,则需要在2添加过滤命令。
ip.src==192.168.1.106 会对捕获结果进行再次过滤,将发起请求ip地址为 192.168.1.106 的信息流留下
ip.dst==192.168.1.106 会对捕获结果进行再次过滤,将请求访问目标ip地址为 192.168.1.106 的信息流留下
会有自动提示哦,写完命令如果正确输入框会变为绿色,然后按一下标注为2 的按钮更新一下
跟踪某一条访问
网络访问有时候存在重试的情况,这对于我们分析信息流来说是一种干扰,所以我们可以选择跟踪一个连续的信息流,而不是多个。右键 点击 Foller 协议名字(如TCP) Stream
保存新文件和打开已保存文件
关闭窗口会提示你保存
至于打开新文件,停止当前捕获,然后左上角 File->open 你保存的文件即可
留个悬念
下图对应 网络协议分层,含义是>>>
参考链接
[1].http://blog.jobbole.com/70907/
[2].https://blog.csdn.net/howeverpf/article/details/40743705
[3].https://blog.csdn.net/hzhsan/article/details/43453251
[4].https://jingyan.baidu.com/article/b87fe19e7603b75218356825.html