wireshark抓包分析
wireshark是非常流行的網絡封包分析軟體,功能十分強大。可以抓取各種網絡包,并顯示網絡包的詳細資訊。
wireshark是捕獲機器上的某一塊網卡的網絡包,當你的機器上有多塊網卡的時候,你需要選擇一個網卡。
點選caputre->interfaces.. 出現下面對話框,選擇正确的網卡。然後點選"start"按鈕, 開始抓包
wireshark 主要分為這幾個界面
1. display filter(顯示過濾器), 用于過濾
2. packet list pane(封包清單), 顯示捕獲到的封包, 有源位址和目标位址,端口号。 顔色不同,代表
3. packet details pane(封包詳細資訊), 顯示封包中的字段
4. dissector pane(16進制資料)
5. miscellanous(位址欄,雜項)
使用過濾是非常重要的, 初學者使用wireshark時,将會得到大量的備援資訊,在幾千甚至幾萬條記錄中,以至于很難找到自己需要的部分。搞得暈頭轉向。
過濾器會幫助我們在大量的資料中迅速找到我們需要的資訊。
過濾器有兩種,
一種是顯示過濾器,就是主界面上那個,用來在捕獲的記錄中找到所需要的記錄
一種是捕獲過濾器,用來過濾捕獲的封包,以免捕獲太多的記錄。 在capture -> capture filters 中設定
儲存過濾
在filter欄上,填好filter的表達式後,點選save按鈕, 取個名字。比如"filter 102",
filter欄上就多了個"filter 102" 的按鈕。
過濾表達式的規則
表達式規則
1. 協定過濾
比如tcp,隻顯示tcp協定。
2. ip 過濾
比如 ip.src ==192.168.1.102 顯示源位址為192.168.1.102,
ip.dst==192.168.1.102, 目标位址為192.168.1.102
3. 端口過濾
tcp.port ==80, 端口為80的
tcp.srcport == 80, 隻顯示tcp協定的願端口為80的。
4. http模式過濾
http.request.method=="get", 隻顯示http get方法的。
5. 邏輯運算符為 and/ or
常用的過濾表達式
過濾表達式
用途
http
隻檢視http協定的記錄
ip.src ==192.168.1.102 or ip.dst==192.168.1.102
源位址或者目标位址是192.168.1.102
封包清單(packet list pane)
封包清單的面闆中顯示,編号,時間戳,源位址,目标位址,協定,長度,以及封包資訊。 你可以看到不同的協定用了不同的顔色顯示。
你也可以修改這些顯示顔色的規則, view ->coloring rules.
封包詳細資訊 (packet details pane)
這個面闆是我們最重要的,用來檢視協定中的每一個字段。
各行資訊分别為
frame: 實體層的資料幀概況
ethernet ii: 資料鍊路層以太網幀頭部資訊
internet protocol version 4: 網際網路層ip標頭部資訊
transmission control protocol: 傳輸層t的資料段頭部資訊,此處是tcp
hypertext transfer protocol: 應用層的資訊,此處是http協定
linux抓包工具tcpdump
tcpdump的選項
· -a —— 将網絡位址和廣播位址轉變成名字
· -d —— 将比對資訊包的代碼以人們能夠了解的彙編格式給出
· -dd —— 将比對資訊包的代碼以c語言程式段的格式給出
· -ddd —— 将比對資訊包的代碼以十進制的形式給出
· -e —— 在輸出行列印出資料鍊路層的頭部資訊
· -f —— 将外部的internet位址以數字的形式列印出來
· -l —— 使标準輸出變為緩沖行形式
· -n —— 不把網絡位址轉換成名字
· -t —— 在輸出的每一行不列印時間戳
· -v —— 輸出一個稍微詳細的資訊,例如在ip包中可以包括ttl和服務類型的資訊
· -vv —— 輸出詳細的封包資訊
· -c —— 在收到指定的包的數目後,tcpdump就會停止
· -f —— 從指定的檔案中讀取表達式,忽略其它的表達式
· -i —— 指定監聽的網絡接口
· -r —— 從指定的檔案中讀取包(這些包一般通過-w選項産生)
· -w —— 直接将包寫入檔案中,并不分析和列印出來
-t —— 将監聽到的包直接解釋為指定的類型的封包
示例
在eth2網口抓包,并把結果儲存在test.cap檔案中,然後直接用wireshark打開該檔案就可以看見包内容。
歡迎大家關注我的部落格!如有疑問,請加qq群:135430763共同學習!