您的位置:360文档中心› wireshark使用文档(精髓总结)

wireshark使用文档(精髓总结)

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Wireshark使用文档V1.0版

mymei@

2013-5-30

目录

一Wireshark简单认识 (3)

二Wireshark抓包流程 (3)

1 选择抓取的接口 (3)

2 设置捕捉过滤器 (4)

3 数据包保存 (5)

三Wireshark数据包查看 (6)

1 数据包列表 (6)

2 设置显示过滤器 (7)

3 设置数据包颜色显示 (8)

4 头域解析 (9)

四Telephony分析 (10)

1 V oIP Calls (10)

2 RTP (11)

3 SSL/TLS (12)

五其他实用功能 (13)

1 后台抓包 (13)

2 merge包合并功能 (13)

3 数据包查找功能及Go功能 (14)

4 统计功能 (14)

一Wireshark简单认识

Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料, 仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。

二Wireshark抓包流程

1 选择抓取的接口

Wieshark的原理就是将经过PC特定网卡的数据包截获下来,那为什么我们能抓到话机的数据包呢,因为话机网卡和PC网卡都处于集线器HUB下,HUB是共享带宽的,所有数据都是广播形式进行发送,如果使用交换机就不行了。

点击Capture菜单,选择interface:

现在的wireshark 可以同时抓取多张网卡的数据包,这个很有用哦,前提是先给自己多配张网卡。

2 设置捕捉过滤器

捕捉过滤器就是设置一定的条件让wireshark 只抓取某些数据包,不符合条件的直接丢弃,

语法:

Protocol

Direction

Host(s)

Value

Logical Operations

Other expression

Protocol (协议):

可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议,则默认使用所有支持的协议。 Direction (方向):

可能的值: src, dst, src and dst, src or dst

如果没有特别指明来源或目的地,则默认使用 “src or dst” 作为关键字。 例如,”host 10.2.2.2″与”src or dst host 10.2.2.2″是一样的。

Host(s):

可能的值:net, port, host, portrange.

如果没有指定此值,则默认使用”host”关键字。

例如,”src 10.1.1.1″与”src host 10.1.1.1″相同。

Logical Operations(逻辑运算):

可能的值:not, and, or.

否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级,运算时从左至右进行。

例如,

“not tcp port 3128 and tcp port 23″与”(not tcp port 3128) and tcp port 23″相同。

“not tcp port 3128 and tcp port 23″与”not (tcp port 3128 and tcp port 23)”不同。

举例:

tcp dst port 3128

显示目的TCP端口为3128的封包。

ip src host 10.1.1.1

显示来源IP地址为10.1.1.1的封包。

host 10.1.2.3

显示目的或来源IP地址为10.1.2.3的封包。

src portrange 2000-2500

显示来源为UDP或TCP,并且端口号在2000至2500范围内的封包。

not imcp

显示除了icmp以外的所有封包。(icmp通常被ping工具使用)

src host 10.7.2.12 and not dst net 10.200.0.0/16

显示来源IP地址为10.7.2.12,但目的地不是10.200.0.0/16的封包。

我常用的捕捉过滤器:

ether host 00:0b:82:27:f6:7b or ether host 00:0b:82:27:f6:89 //这样我就可以只抓到我所关心的两块板子的所有数据了

3 数据包保存

可以在抓包开始前设定定时保存或者定大小保存(数据包过多内存无法存放),停止抓包后也可以将抓取到的数据包全部保存或者分条件保存。

全部保存可以直接点击主界面上的快捷按钮或者点击主菜单File->save as来保存

按条件保存时,点击主菜单->Export Specified Packets:

三Wireshark数据包查看

1 数据包列表

以下是我常用的column:

特别的:

Time的格式可以自定义设置:主菜单View->Time Display Format;我比较喜欢设置成系统时间,因为这样看包的时候知道对应哪个时间的流程操作

默认wireshark好像并没有把length(数据包长度)加入到column中来,个人也非常喜欢这个关键信息,因为很多数据包光看大小也是能看出很多信息的。具体设置:

主菜单Edit->Preferences->User interface->Column找到对应的field type加进来就可以了,也

可以直接右击上面的标签去选择编辑:

相关文档
最新文档