Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
通过wireshark抓到的数据包数量可能十分的庞大,这是就要会一些wireshark的多虑语句进行数据包的过滤缩小范围。更加方便进行数据包的分析。
1,通过ip地址
1)source为原ip地址,destination为目标ip地址
ip.src== 192.168.254.134
过滤原ip地址为192.168.254.134的包
ip.dst== 192.168.245.128
过滤原ip地址为192.168.245.128的包
2)两条不同语句之间可以用or和and连接,or只需满足其中之一,and需要全部满足
3)可用!=表达不满足
2、通过协议过滤
1)
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl等
2)可用 !加协议 或者not加协议表示排除该协议
如: not arp 或!arp
3、http模式过滤
过滤http的两个模式get和post
http.request.method=="GET",http.request.method=="POST"
4、根据端口过滤
主要两种
tcp.port==端口
udp.port==端口
5、包的长度过滤
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后
6、在info中有个response字段
可通过这个判断登录成功与失败等
如ftp contains "220" ftp contains "success"
过滤出ftp登录成功的数据包
7、可以对过滤出的数据包右键在follow中有tcp stream udp stream 等,通过这个可以跟踪到有关联的数据包,并把他们显示在一起方便信息查看。
8、通过指定网关过滤抓包
gateway host
通过制定host 作为网关包。也就是说,以太网源地址或目标地址是 host ,但 ip 地址和目标ip地址都不是host 的包
9、通过指定子网掩码过滤抓包
[src|dst] net <net> [{mask<mask>}|{len <len>}]
10、按包大小过滤
less|greater <length>
过滤包的大小长度选择长度符合要求的包。
目前会的不多就这些语句,以后学会了新的语句会补充进来
