Wireshark软件的初接触——界面布局,抓取报文及Filter过滤
1.Wireshark介绍:
wireshark是一个非常流行网络封包分析软件,功能十分强大。可以抓取各种网络封包,并尽可能显示出最为详细的网络封包内容。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
2.Wireshark界面布局:
Wireshark界面主要分为三部分:区域一显示抓取的报文,区域二显示选中报文的包头详细信息,区域三显示选中报文的详细信息,默认以十六进制显示。
3.Wireshark图形界面抓报文:
具体步骤:
第一步 打开wireshark抓包软件,点击“Capture-->Interfaces”
第二步 选择抓包的网卡,点击”Strart“开始抓包,这样将抓取流经此网卡的所有报文,并临时保存在内存中。因此,如果持续抓包将消耗掉系统大量内存。
4.Wireshark的Filter过滤:
Wireshark能够根据应用的需要设置灵活方便的过滤条件,迅速筛选出符合条件的报文。Wireshark的Filter过滤能够自动检测语法合法性,如果过滤条件设置正确,则Filter输入框为绿色,如果过滤条件设置错误,则Filter输入框为红色。表中是常用的过滤条件。
|
ip.addr==10.23.7.113 |
源IP地址或目的IP地址是10.23.7.113的报文 |
|
ip.src==10.23.7.113 |
源IP地址是10.23.7.113 |
|
ip.dst==10.23.7.113 |
目的IP地址是10.23.7.113 |
|
ip.src==10.23.7.113 and ip.dst==10.23.7.113 |
报文源IP地址是10.23.7.113且目的IP地址是106.28.142.181
IPip |
|
udp/tcp.port==80 |
过滤udp或tcp源端口或目的端口是80的报文
|
|
udp/tcp.srcport==40004 |
过滤udp或tcp源端口是40004的报文
|
|
udp/tcp.dstport==80 |
过滤udp或tcp目的端口是80的报文 |
|
tcp.srcport==40004 and tcp.dstport==80 |
过滤tcp协议源端口是40004且目的端口是80的报文 |
|
tcp/udp/http |
过滤tcp/udp/http报文 |
|
tcp.flags.syn==0x02 |
抓tcp syn报文 |
|
ip.id==0xadcd |
过滤ip报文id是0xadcd的报文 |
5.使用Wireshark抓取ping命令产生的ICMP包:
第一步 点击start开始抓包。
第二步 选择www.baidu.com作为目标地址,在命令提示符下键入ping www.baidu.com,显示如下:
第三步 Ping命令使用的是ICMP协议,抓包前使用捕捉过滤器,过滤设置为icmp,过滤结果如下: