一、Wireshark简介
开源网络包分析器,能在多种平台(Windows、Linux、Mac)抓取和分析网络包,对网络数据包进行细致入微地分析,显示出数据包的详细内容,从而帮助技术人员分析网络级别的估值,判断这些信息是否满足用户的需求,并在优化网络性能方面有发挥重要作用。同时,使用Wireshark工具帮助学习和分析常见的网络协议。
Tshark。
二、获取、安装、快速开始
1、官方网站:可获取Windows-32bit、Windows-64bit、Mac OS、Linux OS上的Installer包、Source Code、User's Guide。学习版本Wireshark-32bit-V3.0.0。
Get and Install: https://www.wireshark.org/download.html
Wireshark User's Guide: https://www.wireshark.org/docs/wsug_html_chunked
https://wiki.wireshark.org/ 有些过滤示例
2、Windows平台上直接运行exe,根据向导安装完毕,过程中自动安装Npcap。
Npcap取代WinPcap,能支持Windows平台的回环(Loopback)数据包采集、回环(Loopback)数据包发送。
3、运行安装好的Wireshark,认识主界面,从上到下分为:标题栏、菜单栏、工具栏(开始捕获、停止捕获、重新捕获、捕获接口选项、保存捕获文件,导出/打开/加载捕获文件、放大/缩小/还原分组显示等)、(显示)过滤器栏、数据包列表区、数据包解析细节区、数据包字节区(显示十六进制字节和对应ASCII码)、状态栏(显示抓包总数)。
区分: CaptureFilters:捕获过滤器,菜单栏-->捕获-->捕获过滤器...
DisplayFilters:显示过滤器,主界面中的过滤器栏,https://www.wireshark.org/docs/wsug_html_chunked/ChUseFilterToolbarSection.html
4、有疑问随时查找 菜单栏-->帮助
5、Tshark命令有多个可选项,无选项时作用类同Linux中的 tcpdump命令
6、查看数据包列表区的色彩标识:菜单栏-->视图-->着色规则
7、查看Wireshark捕获过滤器支持的协议列表,过滤器表达式使用的部分memership:菜单栏-->视图-->内部-->support protocal。
8、主界面中数据包列表区选中一条数据包-->右键菜单-->跟踪流-->xx流,将显示在服务器和目标端之间的全部会话,关闭窗口之后,会发现过滤条件自动被引用了——Wireshark显示构成会话的报文。
9、Wireshark能抓到的包及抓包环境:1、穿越网络以装有Wireshark的这台设备作为最终目的地的数据包;2、装有Npcap捕获软件,可抓取Windows平台本机的回环数据包;3、计算机装有Wireshark并启动杂合模式,交换机支持配置端口镜像技术(或管理员通过插拔设备方式),使装有协议分析软件的计算机和目标PC处于同一个广播域中,能抓取所有去往这台目标PC以及所有从这台目标PC发出来的数据包。
Wireshark默认启动promiscuous(杂合)模式,这样才能抓到并不是以这台设备作为最终目的地的数据包。否则,需在“Wireshark·捕获接口”窗口中勾选“在所有接口上使用混杂模式”。
10、保存捕获文件的操作:菜单文件-->另存为... ,Wireshark默认保存.pcapng格式。
11、Wireshark抓包实质捕获的是数据链路层的帧。
三、创建过滤器表达式
1、认识过滤器栏、过滤器表达式语法、过滤器对话窗
3.16. The “Filter” Toolbar:
6.4. Building Display Filter Expressions
过滤表达式语法可使用:协议类型、值比较操作符(==,!=,<,>,contains,matches,&等等)、多个过滤表达式联合使用逻辑运算名称、成员运算符(.)、片运算符([:])、函数
6.5. The “Filter Expression” Dialog Box
2、创建过滤器表达式
方法一:在过滤栏直接输入 符合伯克利数据包过滤语法(BPF语法)的过滤器表达式
BPF语法是一种行业标准,很多协议分析软件都可以使用,因此不同协议分析软件的过滤器配置可以相互迁移。
方法二:使用 过滤器栏 -->表达式...-->显示过滤器表达式 对话窗口来生成
3、常见的错误:意图过滤掉某个ip,过滤表达式 !(ip.addr == 1.2.3.4) ,不是 ip !=1.2.3.4.
