Wireshark网络分析工具

Zhang21 收录于 linux

2017-10-25 约 358 字预计阅读 1 分钟

Wireshark 是一个网络数据包分析工具。

过滤语法

wireshark过滤分为两种:

抓包过滤
显示过滤

尽量避免使用抓包过滤。即便多看几个报文，也比漏掉一个报文要好。

抓包过滤

类型：

host
net
port

方向：

协议：

ether
ip/arp
tcp/udp
http/dns/ftp/icmp
…

逻辑运算符：

&&
||
!

栗子：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36


# 主机
host www.xx.com
src host 192.168.1.1 && dst port 80
host 193.168.1.1 || host 192.168.1.2


# 广播包
!broadcast


# MAC
ether host 00:88:ab:56:12:0d
src ether host 00:88:ab:56:12:0d


# IP
host 192.168.1.1
dst host 192.168.1.1


# net
net 192.168.1.0/24
src net 192.168.1.0/24


# vlan
vlan 11


# Port
port 80
! port 443
dst port 80
udp dst port 5678
portrange 1-80

显示过滤

比较操作符：

==
!=
>
<
>=
<=

逻辑操作符：

and
or
xor
not

IP：

ip.addr
ip.src
ip.dst

Port：

tcp.port
tcp.srcport
tcp.dstport
tcp.flag.syn
tcp.flag.ack

Protocol：

arp
ip
icmp
udp
tcp
dns
…

栗子：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# ip
ip.addr == 1.1.1.1
ip.src == 1.1.1.1 and ip.dst == 2.2.2.2


# port
tcp.port == 80
tcp.dstport == 80
tcp.flag.syn == 1


# pro
arp
not icmp

HTTPS

Wireshark 也可以分析HTTPS加密的包，但你需要用证书将包先解密。

在 Edit->Preferences->Protocol->SSL 选项填写相关信息进行解密。

目录

Wireshark网络分析工具

过滤语法

抓包过滤

显示过滤

HTTPS