Wireshark是一個強大的網絡協議分析軟件,最重要的它是免費軟件。
過濾規則
只抓取符合條件的包,在Wireshark通過winpacp抓包時可以過濾掉不符合條件的包,提高我們的分析效率。
如果要填寫過濾規則,在菜單欄找到capture->options,彈出下面對話框,在capture filter輸入框內填寫相應的過濾規則,點擊下方的start 就生效了。
1.只抓取HTTP報文
tcp port 80
解析:上面是只抓取tcp 協議中80端口的包,大部分Web網站都是工作在80端口的,如果碰到了81端口呢?可以使用邏輯運算符or唄!如 tcp port 80 or tcp port 81
2.只抓取arp報文
ether proto 0x0806
解析:ether表示以太網頭部,proto表示以太網頭部proto字段值為0x0806,這個字段的值表示是ARP報文,如果的ip報文此值為0x8000
3.只抓取與某主機的通信
host www.cnblogs.com
只抓取和博客園服務器的通信,src表示源地址,dst表示目標地址
4.只抓取ICMP報文
icmp
更多關於過濾規則的說明可以參考:
http://www.tcpdump.org/tcpdump_man.html
顯示規則
只是將已經抓取到的包進行過濾顯示。
在下方的輸入框添入相應的規則點擊apply即可,如果需要清除這一次的顯示過濾點擊Clear即可
1.只顯示HTTP報文
tcp.port == 80
2.只顯示ARP報文
eth.type == 0x806
也許你會說Type后面的值記不住,沒關系可以點擊Expression會彈出Filter Expression窗口,如下圖:
3.只顯示與某主機的通信
ip.addr == 42.121.252.58
4.只顯示ICMP報文
Icmp
學習中比較常用,就記錄下來了