抓包-wireshark
具体使用见:https://wiki.wireshark.org/CaptureSetup
1.wifi:en0 查看tcp,udp,tls,ssdp(查找局域网网络设备),dns,arp等协议,也可查看http,https等
2.Loopback 本地环回接口(地址),一般查看127.0.0.1本地服务。
过滤:
(过滤输入框是绿色才表明过滤表达式是对的)
(注意:每个过滤表达式之间最好有空格)
1.捕获过滤器 (位置:首页)
2.应用显示过滤器 (选中一个接口进入第二个页面)
过滤语法结构: (注意区别:捕获过滤器不能使用==等连接符,不能使用"."
应用显示过滤器 需要使用 == 等连接符。需要使用".")
- Protocols
ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcp and udp
注:若不指定,默认使用所有支持的协议
- Direction
src,dst
3.Host
net,port,host,portrange
4.Logical Operations
|| && !
注:!优先级最高
- Other expression
其他的过滤条件,当有多重表达条件时与Logica Operatios 一起连用
捕获过滤器(注:使用时,需先写好过滤规则)
使用案例如下:
-
host 192.168.0.201 目标和源都是192.168.0.201
src host 192.168.0.1 源地址为192.168.0.1
dst host 192.168.0.1 目标地址为192.168.0.1
也可以两者合并:src host 192.168.0.1 && dst host 192.168.0.1 -
port 443
! port 443 代表端口不是443的
dst port 80 代表目标端口是80
同上可以使用 && 和 !组合。并且使用host和port组合。
如:src host 192.168.0.1 && ! port 80 -
tcp //注意没有http
! tcp
应用显示过滤器
NOTE: && !|| 等连接符同 捕获过滤器 具体点击 应用显示过滤器栏右边的表达式 或者 输入过滤规则的时候有提示。
- ip.addr ==192.168.0.102 源和目标是192.168.0.102
ip.src ==192.168.0.102 源是192.168.0.102
注意:同上面捕获过滤器规则不同,不能用host -
tcp.stream eq 0 tcp 报文索引0
tcp.png
-
tcp.port eq 443 端口443
同 tcp.port == 443效果是一样 -
eth.dst == A0:00:00:04:C5:84 //mac地址
-
tcp.flags.syn == 0x02 //显示包含syn标志位的数据包
-
frame.len==119 //整个数据包长度,从eth开始到最后
-
http.request.method=="get" //显示http请求中method值为get的包
NOTE:若不退出wireshark,则重新点击抓包,直到没有包可以抓,并回到首页
参考:
附:tcp报文重组过程:
http://blog.sina.com.cn/s/blog_48eef8410100b1gw.html
