作者:張醫博
背景:
此片文章意在介紹 Wireshark 的基本抓包使用,沒有複雜介紹,請各位知曉
功能介紹
wireshark 安裝完後可能有中英文兩種,但是操作區域基本都是一緻;
1 Wireshark 讀到本機所有的網絡接口,包含虛拟和實體網絡接口;
2 填寫 Wireshark 的抓包捕獲條件,比如最簡單的域名比對抓包 host www.taobao.com ,但是如果用戶端啟動了 https 協定傳輸,那麼 http 七層的抓包條件是不啟作用的,資料包已經加密;
3 啟動抓包;
4 停止抓包;
5 重新抓包,之前設定的相關抓包條件保持不便;
如果我們僅是簡單的抓包使用,按照上述的操作即可抓到你想要的資料包;
存儲
抓包停止後,直接通過最簡單的檔案,另存為,儲存到對應目錄下,格式為 pcap 的檔案即可;
過濾資料包
常用表達式
過濾 SYN 包 tcp.flags.syn==1
過濾 RESET 包
過濾 IP ip.addr == 'xxxx'
輔助分析
IO Graf 主要用來分析吞吐,重傳、以及根據标志位分析資料包,具體可以 Google 使用方法;
專家分析 對各種資料包類型進行彙總統計,展示比較清晰;