Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
网络封包分析软件的功能可想像成 “电工技师使用电表来量测电流、电压、电阻” 的工作 -
只是将场景移植到网络上,并将电线替换成网络线。在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。
官网下载安装:https://www.wireshark.org/download.html
基础抓包:
效果查看:
简单抓包的基础步骤:
选取抓包链接——获取网络实时痕迹——获取报文——深入解析
进入主界面——选择捕获——选择
选择捕获链接——开始捕获
根据不同协议获取不同信息
过滤表达式的规则表达式规则
- 协议过滤
比如TCP,只显示TCP协议。
- IP 过滤
比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,
ip.dst==192.168.1.102, 目标地址为192.168.1.102
- 端口过滤
tcp.port ==80, 端口为80的
tcp.srcport == 80, 只显示TCP协议的愿端口为80的。
- Http模式过滤
http.request.method==“GET”, 只显示HTTP GET方法的。
- 逻辑运算符为 AND/ OR
常用的过滤表达式
三次请求握手打开wireshark, 打开浏览器输入 http://www.cr173.com 在wireshark中输入http过滤,
然后选中GET /tankxiao HTTP/1.1的那条记录,右键然后点击"Follow TCP
Stream",这样做的目的是为了得到与浏览器打开网站相关的数据包,将得到如下图
