Wireshark的简单使用

双击选择了网卡之后,就开始抓包了

wireshark占满了C盘空间 wireshark清空数据包_wireshark占满了C盘空间

停止抓包后,我们可以选择保存抓取到的数据包。文件——> 另存为——>选择一个存储路径,然后就保存为后缀为 .pcap 格式的文件了,可以双击直接用wireshark打开。

wireshark占满了C盘空间 wireshark清空数据包_抓包_02


数据包的过滤

数据包过滤是wireshark一个很实用的功能了,通常我们抓包会抓取到网卡通过的所有数据包。很多数据包对于我们来说是没用的,所以我们就需要对其进行过滤。数据包的过滤可以分为 抓取时过滤 和 抓取后的过滤 。这两种过滤的语法不同!

抓取时过滤

捕获——>捕获过滤器,这是wireshark默认的一些捕获过滤器,我们可以参照他的语法,自己在左下角自己添加或者删除捕获过滤器

wireshark占满了C盘空间 wireshark清空数据包_源地址_03

然后如果我们想抓取时对数据包过滤,捕获——>选择,然后选择我们要抓取数据包的网卡,在下面选择我们的过滤器。绿色的话表示语法没有问题,设置好了之后点击开始就可以抓取数据包了

抓取后的过滤

我们一般都是抓取完数据包后进行过滤的,在上方输入我们的过滤语法

ip.addr==192.168.214.1 或  ip.addr eq 192.168.214.1  #过滤地址
ip.src==192.168.214.1     #过滤源地址
ip.dst==192.168.214.1     #过滤目的地址
 
过滤协议,直接输入协议名
icmp 
http
 
过滤协议和端口
tcp.port==80
tcp.srcport==80
tcp.dstport==80
 
过滤http协议的请求方式
http.request.method=="GET"
http.request.method=="POST"
http.request.uri contains admin   #url中包含admin的
http.request.code==404    #http请求状态码的
 
连接符
&&  
||
and
or
 
通过连接符可以把上面的命令连接在一起,比如:
ip.src== 220.181.38.148and http.request.method=="POST"

数据流追踪

我们的一个完整的数据流一般都是由很多个包组成的,所以,当我们想查看某条数据包对于的数据流的话,我们就可以:右键——>追踪流,然后就会有TCP流、UDP流、SSL流、HTTP流。当你这个数据包是属于哪种流,就可以选择对应的流

wireshark占满了C盘空间 wireshark清空数据包_HTTP_04

当我们选择了追踪流时,会弹出该流的完整数据流。还有这个数据流中包含的数据包。顶部的过滤器就是该流的过滤规则

wireshark占满了C盘空间 wireshark清空数据包_抓包_05

数据包的统计分析
分析一栏中,可以对抓取的数据包进行进一步的分析,比如抓取的数据包的属性、已解析的地址、协议分级等等。我就不一一列出来了

已解析的地址

功能:统计通信流量中已经解析了的地址

路径:统计——>已解析的地址

统计摘要说明

功能:可以对抓取的数据包进行全局统计,统计出包的一些信息

路径:统计->捕获文件属性

导出对象——>HTTP

这个功能点非常有用,他可以查看并且导出HTTP流对象,这对于数据包分析非常有用!

wireshark占满了C盘空间 wireshark清空数据包_抓包_06


wireshark占满了C盘空间 wireshark清空数据包_wireshark_07