wireshark 是最流行的网络分析工具之一。wireshark抓的应该是帧,但是出于习惯称为抓包
网卡在接收到数据后会检查数据是不是发给自己的,如果不是就丢弃,如果是,就将数据交给操作系统,操作系统在把数据交给相应的软件。启动wireshark后,操作系统会把说有经过网卡的数据复制一份给wireshark.而在混杂模式下,网卡则将所有通过它的数据包(不论是否是发给本机的)都传递给操作系统。
按照wireshark图片来介绍其功能
标号1:代表菜单栏。
1.1,修改标号3中的列 【编辑】-->【首选项】-->【外观】-->【列】
1.2,Name Resolution 【编辑】-->【Name Resolution】
标号2:代表工具栏:
标号3:代表显示过滤栏, 输入显示过滤条件,可以在 【分析】-->【Display Filter】中设置过滤条件。
伯克利包过滤:type:表示指带的对象,如 IP地址,子网或端口。常见的有host(表示主机名或ip),net(表示子网),port。如果没有指定,默认为host
dir:表示数据包传输的方向。 src,dst
proto:表示匹配的协议类型。ether,ip,tcp,arp等
实例:(ip.src==11.11.11.11 ) && (tcp.port==80)
标号4:数据包列表面板
标号5:数据包字节面板,详细信息公分3列。第一列表示数据的偏移量,第二列表示以十六进制显示数据内容,第三列表示以 ASCII 码显示数据包的内容。
标号6:状态栏,其中最左侧的红点代表专家信息
作者:即可行动2021,转载请注明原文链接
