码迷,mamicode.com
首页 > 其他好文 > 详细

Wireshark的简单使用

时间:2019-11-14 23:49:53      阅读:78      评论:0      收藏:0      [点我收藏+]

标签:逻辑运算符   com   通过   显示   img   背景   数据包   链接   视图   

TCP包

先看一下Wireshark抓到的TCP的包对应的协议层:

技术图片

  • Frame:对应是物理层,主要是传输bit流。
  • Ethernet:数据链路层,传输数据帧,二层通信主要是通过mac地址。
  • Internet:网络层,传送数据包, 互联网层IP包头部信息,这一层通过抓包能够知道源IP和目的IP
  • Transmission:传输层,主要传送分组,传输层中的TCP、UDP协议
  • Hypertext:应用层,常用的HTTP、SMTP、FTP等协议

进一步,可以查看TCP报文的详细内容:

技术图片

 

 过滤方法

在wireshark的过滤规则框Filter中输入过滤条件。

1. 过滤源ip、目的ip

如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1;

2. 端口过滤

如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包

3. 协议过滤

比较简单,直接在Filter框中直接输入协议名即可,如过滤HTTP的协议

4. http模式过滤

如过滤get包,http.request.method=="GET",过滤post包,http.request.method=="POST"

5. 运算符的使用

可以使用与(&&)、或(||)、非(!)三种逻辑运算符。

例如,使用and连接,过滤ip为192.168.101.8并且为http协议的,ip.src==192.168.101.8 and http。

 除此之外,还有一个有用的方法,即了解背景颜色的含义:可以在 视图-->着色规则 进行查看和自定义。

6. 显示器过滤

ip.addr==192.168.5.6,只显示192.168.5.6这个地址相关数据包

frame.len<=128,只查看长度小于128字节的数据包

 

参考链接:

1. https://www.jianshu.com/p/afa438cb7d73

2. https://www.cnblogs.com/nmap/p/6291683.html

Wireshark的简单使用

标签:逻辑运算符   com   通过   显示   img   背景   数据包   链接   视图   

原文地址:https://www.cnblogs.com/lfri/p/11863485.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!