wireshark工具面板如下图所示:
本文记录我比较常用的功能。如果有大佬还用过其他功能麻烦指点一二。
抓包、查找、过滤、数据分析。
菜单工具栏:
设置时间戳格式:
为了方便自己查看,把时间戳格式设置为自己认为比较好看的格式。我这里设置的是时-分-秒-毫秒。
抓包:
capture---interface
选择一个有数据传输的网络进行抓包,点start开始抓包
查找:
可以根据不同的格式查找需要的数据包。我这里选择的是查找string为seq的包。搜索结果是查找之前选中数据包的下一条数据包。
查找前我选中了黄色的这一条数据包。查找执行后,查找到红色框的数据包。
过滤器
clear清除:清除过滤条件
apply应用:应用过滤条件(每次编辑好之后必须点一下apply或者按一下回车让过滤条件生效)
在过滤框中输入表达式正确,背景颜色为绿色,输入错误背景颜色则为红色
过滤ip
ip.addr == X.X.X.X(过滤含X.X.X.X的数据包,不管是源ip还是目的ip)
ip.src == X.X.X.X(过滤源ip为X.X.X.X的数据包)
ip.dst == X.X.X.X(过滤目的ip为X.X.X.X的数据包)
过滤MAC地址
ip改为eth,就是过滤mac地址
过滤协议
直接在过滤框里输入协议名,比如:
TCP、UDP、ARP、ICMP等等
过滤端口
tcp.port == 80
tcp.port <= 80
tcp.dstport == 80
tcp.srcport == 80
逻辑运算符
与( && )、或( || )、非( !)
ip.src == X.X.X.X && ip.dstr == Z.Z.Z.Z
ip.addr == X.X.X.X || ip.addr == Z.Z.Z.Z
!TCP
packet details
Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层的数据段头部信息
数据包封装和解封装过程可以参考下面这篇文章:
网络数据包封装/解封装_朝一爱学习的博客-CSDN博客
packet Bytes
以16进制显示了数据在链路上传播时候的样子。
选中的时候会高亮,可以查看具体信息以及所占的字节数。
一行是16字节,128个bit位。
