抓包软件wireshare如何使用？

1 数据包捕获分析技术

更详细的使用教程

链接：https://pan.baidu.com/s/12oBrBxch9cNLipDEdyPAbQ
提取码：wmjl
复制这段内容后打开百度网盘手机App，操作更方便哦

1.1 网络截获数据包的理论基础

网卡的MAC地址(48位)
通过ARP来解析MAC与IP地址的转换
用ipconfig/ifconfig可以查看MAC地址

正常情况下，网卡应该只接收这样的包
1.MAC地址与自己相匹配的数据帧（单播包）
2.广播包（Broadcast）和属于自己的组播包（Multicast）

网卡完成收发数据包的工作，两种接收模式
混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来

非混杂模式：只接收目的地址相匹配的数据帧，以及广播数据包和组播数据包

1.2 Wireshark功能界面介绍

“解析器”在Wireshark中也被叫做“16进制数据查看面板”。
这里显示的内容与“封包详细信息”中相同，只是改为以16进制的格式表述。
在上面的例子里，我们在“封包详细信息”中选择查看TCP端口（80），其对应的16进制数据将自动显示在下面的面板中（0050）。

1.3 捕获过滤器

在Wireshark中有两种过滤器：

捕捉过滤器：在抓包之前设置，让Wireshark只抓取过滤器指定的包。
显示过滤器：在桌包之前或者完成抓包之后都可，不影响抓包，只是方便查看。

抓包模式

在开始抓包之前还可修改Wireshark的抓包选项。通过工具栏或者菜单Capture->Options 打开抓包选项设置界面。
这里可以设置很多选项，我们这里介绍一下 混杂模式 和 非混杂模式。

混杂模式：抓取经过网卡的所有数据包，包括发往本网卡和非发往本网卡的。

非混杂模式：只抓取目标地址是本网卡的数据包，对于发往别的主机而经过本网卡的数据包忽略。
如下图中显示的是 混杂模式

Capture Filter 语法
例子： iax2 dst 61.154.152.13 4569 and src 192.168.2.111

这里是引用

Protocol（协议）: 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果没有特别指明是什么协议，则默认使用所有支持的协议

 >Direction（方向）: 可能的值: src, dst, src and dst, src or dst
  如果没有特别指明来源或目的地，则默认使用 “src or dst” 作为关键字。
   例如，“host 192.168.2.111”与“src or dst host 192.168.2.111”是一样的。
    
  >Host(s): 可能的值： net, port, host, portrange. 如果没有指定此值，则默认使用“host”关键字。
   例如，"src 192.168.2.111"与"src host 192.168.2.111"相同。 

Logical Operations（逻辑运算）: 可能的值：not, and, or. 否(“not”)具有最高优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至右进行。
例，“not tcp port 3128 and tcp port 23”与“(not tcp port 3128) and tcp port 23”相同。 "not tcp port 3128 and tcp port 23"与"not (tcp port 3128 and tcp port 23)"不同。

1.4显示过滤器

语法：

Protocol（协议）:可以使用大量位于OSI模型第2至7层的协议。点击“Expression…”按钮后，我们可以看到它们。比如：IP，TCP，UDP，DNS，SSH

语法实例

1、只显示目的UDP端口为4569或者来源TCP端口为80的封包：

表达式语法正确，Filter栏背景色为绿色显示，Enter（回车）后，过滤显示符合对应条件的封包，语法错误背景色为红色，Enter（回车）后，会弹出错误提示信息，不会显示出对应条件的封包。

2、一个整数可以用十进制表达，也可以用八进制、十六进制表达，下面的语法意义是相同的：

3、以太网地址和字节数组使用十六进制表示，十六进制的数字可以被“：”“.” “- ”分隔。

4. IPv4地址可以被表示成点分十进制或者使用主机名表示。

5、当使用IPv4子网划分的时候，CIDR（Classless InterDomain Routing ）表示法也可以使用。
例如：以下的过滤器可以找到所有129.111的数据包：

斜线后面的数字用于表示子网占用的比特数。CIDR表示法也用于查找主机名，例如C类网络中主机“sneezy”的IP地址。

6、双引号封装字符串。

常用的表达示例

1.5Follow TCP Stream

如果是在抓取和分析基于TCP协议的包，从应用层的角度查看TCP流的内容有时是非常有用的。要查看TCP流的内容，只需要选中其中的任意一个TCP包，选择右键菜单中的“Follow tcp stream”即可。

这里有一个技巧可以比较简单方便的查看到每一个TCP连接流的内容：

一. 我们通过显示过滤器tcp.flags.syn==1 and tcp.flags.ack != 1 将所抓包的建立每个TCP连接的第一个包给过滤出来。
二 . 在每个单独的包上面执行“Follow TCP Stream”。
三 . 回到显示过滤器重新选择第一步中的过滤器，再对其他的包执行第二步。

1.6统计工具

你学会使用wireshare了吗？