Wireshark的使用(2)过滤器的基本使用及数据报的分析
紧接着上一篇博客,我们知道在网络中实际抓取的数据包数量是很多的,包含了很多我们需要的,不需要的数据包。为了快速定位网络中存在的问题,我们需要使用到wireshark中的过滤器工具。
wireshark中的过滤器分为抓包过滤器和显示过滤器。抓包过滤器可以让管理员只抓取到对自己需要的信息,不需要的信息就会自动丢弃。与之相比,显示过滤器会更加灵活。显示过滤器不会丢弃数据包,它只会根据管理员的过滤规则将不需要的数据包隐藏起来,当管理员删除过滤规则时则又显示出全部的数据包。(本文仅介绍显示过滤器)
下图所示的即是显示过滤器的窗口。
我们可以直接在方框中输入指令进行数据包过滤。比如我要查看所有关于TCP的数据包。我就可以在过滤框中键入tcp,然后点击apply按钮,过滤器就会只显示与TCP有关的数据包。
如果我们需要过滤一些较为发杂的数据包,但是又苦于不会语法,我们可以点击方框中的Expression按钮。里面提供了许许多多的过滤条件和规则。以IPv4为例。里面的过滤选项就包含IP报文的版本号,头部等与报文内部的字节信息相关的过滤规则,可以 说是相当强大了
我们以过滤源目IP为192.168.1.104的数据包为例。
选中ip.addr按钮,然后再relation选项中选择等号,在参数值中键入所要的IP地址,然后点击OK,再应用,就会发现已经过滤出我们所需要的数据包了。
讲解完了过滤器就让我们来具体地分析一个数据包吧。(数据包的分析涉及到大量的网络知识,本文主讲wireshark的使用,其他具体的问题后面会出一个报文字段的分析专题)
我们随便选取一个刚刚捕获的TCP数据包
首先就是第一个字段,这个字段表明的是物理层的信息,一般情况下的网络排错很少用到它。
然后就是数据链路层的信息。
从该字段中我们可以发现这个数据包的帧格式是Ethernet II。此时脑海中就要自动浮现以太网帧的格式,源目MAC地址,类型字段等。这个帧的类型字段是0x0800,表明网络层的协议是IPv4。
IPv4的报文中都有什么字段,各个字段又有什么含义,从该报文中我们可以观察到网络层的一些信息。从它的Protocol字段我们可以观察到它的传输层协议为TCP
然后就是我们的传输层协议,传输层协议的内容也跟我们理论学习的报文一一对应。
持续更新,有错误的地方还请多多指正——一个刚入门网络的小白