Wireshark界面
Wireshark查看数据捕获列表
数据包概要信息窗口:描述每个数据包的基本信息。如图,点击某行数据,即可在下方显示该数据包的信息。
1、数据包解析窗口:显示被选中的数据包的解析信息,包含每个数据包的整体信息、数据链路层、网络层、传输层、应用层的信息,可以点击每层信息的左侧的三角形的下拉选项,打开每层信息的详细解析。
2、数据包数据窗口:显示该数据包的具体数据内容,最左侧的“0000、0010…"为该行数据在整个数据包中的整体偏移量,所有数据以 16 进制显示。
每层信息的左侧的三角形的下拉选项,打开每层信息的详细解析。
3、数据包数据窗口:显示该数据包的具体数据内容,最左侧的“0000、0010…"为该行数据在整个数据包中的整体偏移量,所有数据以 16 进制显示。
wireshark过滤器表达式的规则
根据过滤器可以快速捕获或者查找相应的数据包
抓包过滤器语法和实例
1、抓包过滤器类型Type(host、net、port)、
2、方向Dir(src、dst)、
3、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、
4、逻辑运算符(&& 与、|| 或、!非)
(1)协议过滤
比较简单,直接在抓包过滤框中直接输入协议名即可。
TCP,只显示TCP协议的数据包列表
HTTP,只查看HTTP协议的数据包列表
ICMP,只显示ICMP协议的数据包列表
(2)IP过滤
原地址(请求本机ip) 和目标地址(响应主机ip)查询
1.原地址查询:ip.src_host == 192.168.1.111
2.目标地址查询:ip.dst_host == 33.110.192.103
3.原地址和目标地址组合查询:
ip.src_host == 192.168.1.111 or ip.dst_host == 33.110.192.103
不分原地址和目标地址,两者中只要其中一个符合即可:
(3)端口过滤
tcp.port 80, 显示源主机或者目的主机端口为80的数据包列表。
tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。
tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表
(5) Http模式过滤
http.request.method“GET”, 只显示HTTP GET方法的。
