Wireshark常用选项和功能
初步的思维导图:
wireshark大纲
标记序包:
方便找到需要的包,另外导出的时候可以选择只导出标记的包。
Mark packet
导出指定序包:
export spectied packets
可以选择所有包,或当前选择的包,已经标记的包,这个功能在导出指定包的时候非常实用。
首选项中需要用到的:
首选项位置:edit-preference
preferences
界面调整:
调整抓包页面的布局,建议使用默认
layout
这是调整过的layout
抓包选项:
调整包的大小或抓包时间来保存,这个功能在局域网流量比较大的时候特别实用,因为流量大的时候,会抓到大量的包,容易导致软件假死,以至于抓包丢失。
名字解析:
name resolution
Resolve MAC addr,将MAC转换成易识别的设备名;
Resolve network(ip) address,将ip转换成域名;
过滤器设置:
过滤器分为两种,抓包过滤器和显示过滤器。
抓包过滤器在抓包过程中,不符合这个规则的包不抓取;
显示过滤器,在抓包过程中全部抓取,在抓取的结果中用显示过滤器筛选出想要查看的结果。
过滤器设置
抓包过滤器:
抓包过滤
举个栗子:
抓取命令举例:
host 192.168.1.22 #抓取此ip的数据包;
not host 192.168.1.22 #抓取非此ip的数据包;
src host 192.168.1.22 #抓取来自此ip的数据包;
dst host 192.168.1.22 #抓取发送到此ip的数据包;
host 192.168.1.22 or 192.168.2.11
host www.qq.com
net 192.168.0.0/24
(src|dst) net 192.168.0.0/24
ether host 00:11:22:33:44:55:66:77
vlan <vlan number>
vlan 11 and vlan 22
port 80
udp port 53
portrange 1-80
#组合过滤
host 192.168.1.1 and port 80
udp src port 68 and dst port 67
抓取TCP连接的开始(SYN)和结束(FIN)报文,配置tcp[tcpflags] & (tcp-syn|tcp-fin)!=0;
抓取所有RST(Reset)标志位为1的TCP报文,配置tcp[tcpflags] & (tcp-rst)!=0
less :抓取小于等于某一长度的报文,等同于len <=
greater :抓取大于等于某一长度的报文,等同于len >=
显示过滤器:
显示过滤器语法
举个栗子:
显示过滤栗子
