wireshark是非常流行的網絡封包分析軟件,功能十分強大。可以截取各種網絡封包,顯示網絡封包的詳細信息。使用wireshark的人必須了解網絡協議,否則就看不懂wireshark了。
為了安全考慮,wireshark只能查看封包,而不能修改封包的內容,或者發送封包。
首先下載安裝winpcap http://www.winpcap.org/install/default.htm
wireshark https://www.wireshark.org/download.html
現在有一個Npcap,是winpcap的發展版參見freebuf上的介紹,但是實際安裝使用時,只能抓取發包,沒有回包,所以還是使用winpcap,測試環境,win10-x64
安裝准備好后,就可以開始抓包了
選擇一個適配器進行抓包,還有流量波線圖可以查看那個是當前網卡
選擇后就開始抓包了
213秒里抓到了27055個數據包
可以在過濾器里過濾出指定協議
ip.addr==IP地址
常見的比較操作符
== 等於
!= 不等於
> 大於
< 小於
>= 大於等於
<= 小於等於
contains :包含
matches :匹配
and,or,not :&& || ! 邏輯語,邏輯或,邏輯非
例如:ip.addr==192.168.1.1;ip.dst==192.168.1.106;
ip.addr == 192.168.1.106 and not tcp.port in {80 25}地址是192.168.1.106並且tcp端口不是80、25的
ip.ttl==64 ttl值為64的,這都是發包的,或者內網的數據包
dns or http or tcp 多個協議過濾
http.server matches "Microsoft-IIS/6.0" 過濾特定內容,過濾http包server是Microsoft-IIS/6.0的
下面是dns
是本機的發包,由192.168.1.106發往dns服務器101.226.4.6的dns查詢包,查詢qurl.f.360.cn的ip地址
下圖為dns服務器的回包
下圖為arp協議,tplink路由器192.168.1.1的arp廣播詢問誰是192.168.1.109,只有ip為192.168.1.109的回復,其他主機收到直接丟棄
封包詳細信息 (Packet Details Pane)
用來查看協議中的每一個字段。
各行信息分別為
Frame: 物理層的數據幀概況
Ethernet II: 數據鏈路層以太網幀頭部信息
Internet Protocol Version 4: 網絡層IP包頭部信息
Transmission Control Protocol: 傳輸層的數據段頭部信息,此處是TCP
Hypertext Transfer Protocol: 應用層的信息,此處是HTTP協議
