Wireshark

Zhang21 收录于 linux

2017-10-25 约 386 字预计阅读 1 分钟

Wireshark是一个网络数据包分析工具。

过滤语法

wireshark过滤分为两种:

抓包过滤
显示过滤

尽量避免使用抓包过滤。即便多看几个报文，也比漏掉一个报文要好。

抓包过滤

类型

host
net
port

方向

协议

ether
ip/arp
tcp/udp
http/dns/ftp/icmp
…

逻辑运算符

&&
||
!

栗子：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36


#主机
host www.xx.com
src host 192.168.1.1 && dst port 80
host 193.168.1.1 || host 192.168.1.2


#广播包
!broadcast


#MAC
ether host 00:88:ab:56:12:0d
src ether host 00:88:ab:56:12:0d


#IP
host 192.168.1.1
dst host 192.168.1.1


#net
net 192.168.1.0/24
src net 192.168.1.0/24


#vlan
vlan 11


#Port
port 80
! port 443
dst port 80
udp dst port 5678
portrange 1-80

显示过滤

比较操作符

==
!=
>
<
>=
<=

逻辑操作符

and
or
xor
not

ip.addr
ip.src
ip.dst

Port

tcp.port
tcp.srcport
tcp.dstport
tcp.flag.syn
tcp.flag.ack

Protocol

arp
ip
icmp
udp
tcp
dns
…

栗子：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


#ip
ip.addr == 1.1.1.1
ip.src == 1.1.1.1 and ip.dst == 2.2.2.2


#port
tcp.port == 80
tcp.dstport == 80
tcp.flag.syn == 1


#pro
arp
not icmp

HTTPS

Wireshark也可以分析HTTPS加密的包，但你需要用证书将包先解密。在Edit->Preferences->Protocol->SSL选项填写相关信息进行解密。

目录

Wireshark

过滤语法

抓包过滤

显示过滤

HTTPS