标签:wireshark tcpdump 抓包 网络嗅探抓包 网络抓包
wireshark抓包分析
wireshark是非常流行的网络封包分析软件,功能十分强大。可以抓取各种网络包,并显示网络包的详细信息。
wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。
点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包
WireShark 主要分为这几个界面
1. Display Filter(显示过滤器), 用于过滤
2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表
3. Packet Details Pane(封包详细信息), 显示封包中的字段
4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏,杂项)
使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。
过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
过滤器有两种,
一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录
一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。 在Capture -> Capture Filters 中设置
保存过滤
在Filter栏上,填好Filter的表达式后,点击Save按钮, 取个名字。比如"Filter 102",
Filter栏上就多了个"Filter 102" 的按钮。
过滤表达式的规则
表达式规则
1. 协议过滤
比如TCP,只显示TCP协议。
2. IP 过滤
比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,
ip.dst==192.168.1.102, 目标地址为192.168.1.102
3. 端口过滤
tcp.port ==80, 端口为80的
tcp.srcport == 80, 只显示TCP协议的愿端口为80的。
4. Http模式过滤
http.request.method=="GET", 只显示HTTP GET方法的。
5. 逻辑运算符为 AND/ OR
常用的过滤表达式
过滤表达式 | 用途 |
http | 只查看HTTP协议的记录 |
ip.src ==192.168.1.102 or ip.dst==192.168.1.102 | 源地址或者目标地址是192.168.1.102 |
|
|
|
|
封包列表(Packet List Pane)
封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。 你可以看到不同的协议用了不同的颜色显示。
你也可以修改这些显示颜色的规则, View ->Coloring Rules.
封包详细信息 (Packet Details Pane)
这个面板是我们最重要的,用来查看协议中的每一个字段。
各行信息分别为
Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP
Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议
linux抓包工具tcpdump
tcpdump的选项
· -a —— 将网络地址和广播地址转变成名字
· -d —— 将匹配信息包的代码以人们能够理解的汇编格式给出
· -dd —— 将匹配信息包的代码以c语言程序段的格式给出
· -ddd —— 将匹配信息包的代码以十进制的形式给出
· -e —— 在输出行打印出数据链路层的头部信息
· -f —— 将外部的Internet地址以数字的形式打印出来
· -l —— 使标准输出变为缓冲行形式
· -n —— 不把网络地址转换成名字
· -t —— 在输出的每一行不打印时间戳
· -v —— 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息
· -vv —— 输出详细的报文信息
· -c —— 在收到指定的包的数目后,tcpdump就会停止
· -F —— 从指定的文件中读取表达式,忽略其它的表达式
· -i —— 指定监听的网络接口
· -r —— 从指定的文件中读取包(这些包一般通过-w选项产生)
· -w —— 直接将包写入文件中,并不分析和打印出来
-T —— 将监听到的包直接解释为指定的类型的报文
示例
在eth2网口抓包,并把结果保存在test.cap文件中,然后直接用wireshark打开该文件就可以看见包内容。
欢迎大家关注我的博客!如有疑问,请加QQ群:135430763共同学习!
标签:wireshark tcpdump 抓包 网络嗅探抓包 网络抓包
原文地址:http://blog.csdn.net/xmtblog/article/details/46473905
