1.wireshark各个选项的作用
1.1 保存、导出、合并捕获文件
这个功能还没有太多实际的应用,以后再说。
1.2 分析数据包
1.2.1 查找数据包
这个和捕获过滤一起可以更好的理解。
1.2.2 标记数据包
点击你想要编辑的数据包,右击。然后进行标记
标记多个可以用 Shift-Ctrl-N和shift-Ctrl-B来回切换
1.3 设定时间显示格式和相对参考
一般是默认的时间显示格式,不用设置。设置为自动捕获开始的秒数与后面的相对参考有关。这样设置相对参考才有意义。
1.4 设定捕获选项
接口:是指从哪里捕获流量。
混杂模式:允许网卡(网络适配器)能够查看所有流经网络线路数据包的驱动模式。(这样就能查看广播流量,因为有的广播流量是不交给CPU进行处理的。)
使用混杂模式能够保证捕获所有的网络流量。
这是设置输出文件的格式。可以进行设置尝试。
环形缓冲器:可以理解为保存文件最多为你设置的自动创建的新文件的数字。如果捕获的流量超过,会自动覆盖。
显示选项:是主面板上显示数据包的样式。
解析名称:(名字解析)
MAC地址解析:可以将链路层地址转换到网络层地址。如果失败,会利用ethers文件尝试进行转换,都失败,会将MAC地址的前三个字节转换成设备的IEEE指定制造商的名字。Netgear_01:02:03
解析网络名称:将IP地址转换为一个易读的DNS名称
解析传输层名称:将一个端口号转换成一个与其相关的名字。如80---http
1.5 使用过滤器
过滤器分为两类:捕获过滤器和显示过滤器。
捕获过滤器是在开始时,进行使用。显示过滤器是在结束捕获后进行使用。两者有的混用
捕获过滤器的BPF语法:
表达式。每个表达式包含一个或多个原语。每个原语包含一个或多个限定词,然后跟着一个ID名字或者数字。例如:tcp port 80 && dst host 1.1.1.1
限定词:
分为三类:1.TYPE 指出名字或数字所代表的的意义(host,net,port)2.Dir指出传输方向(src dst)3.protol 协议 (tcp ip udp arp)
三种逻辑运算符:&& || !
需要注意的协议域过滤器:可以通过检查协议头中的每一个字节来创建基于那些数据的特殊过滤器:tcp[13]&4==4
显示过滤器:
ip.addr == 1.1.1.1
逻辑操作符:and or xor(有且仅有一个条件被满足)not
1.6 统计中一些特性
- 协议分级
- 对话
- 端点
- 分组长度
- I/O图表
2018-08-06 22:52:17
