wireshark

目录

• wireshark
  • 历史
  • 工做原理
  • 过滤器简介
  • 显示过滤器
  • 捕获过滤器
  • 封包详细信息

wireshark

历史

官网

做者 Gerald Combs
前身 Ethereal 
1998年开源发布 
sectools安全工具榜稳居榜首

工做原理

同类软件：sniffer、Omnipeek
正常状况下，网卡收到数据帧时，会查看目的mac和本网卡mac是否相同，不一样则丢弃，相同则接收帧并提交给上一层处理。对广播帧，网卡接收但不做处理。
启动wireshark后，网卡被置为混杂模式，只要数据帧到达网卡，均交给wireshark处理。

过滤器简介

• 显示过滤器，表达式规则:

  协议过滤
  ip过滤
  端口过滤 示例：tcp.port==80
  http模式过滤
  逻辑运算符为and/or

• 捕获过滤器

  用来过滤捕获的封包，以避免捕获太多的记录。设置路径Capture->Capture Filters/捕获->输入->最下方填写过滤器

显示过滤器

- 适用流量不大的状况，我的用户经常使用
ip.addr == 192.168.0.1        //筛选出含有ip地址192.168.0.1的包
ip.src == 192.168.0.1        //筛选出源地址为192.168.0.1的包
ip.dst == 192.168.0.1        //筛选出目的地址为192.168.0.1的包
frame.len<=128                //只显示长度小于128字节的包
tcp.port == 80                //只显示含有端口80的包
tcp.dstport == 25            //只显示目的tcp端口为25的包
tcp.port>1024                //只显示tcp端口号大于1024的包
http                        //只显示http协议的包
http or arp                    //只显示http或ARP协议的包
snmp || dns || icmp            //显示采用SNMP或dns或icmp协议的包
not arp                        //不显示arp协议的包
!tcp                        //不显示tcp协议的包
!(ip.addr == 192.168.0.1)    //排除含有ip为192.168.0.1的包

捕获过滤器

• 抓取时的过滤为了节省性能/老版本选中网卡双击后配置再start开始抓包

  语法格式:协议 方向 类型 数据
  协议：ether/ip/arp/tcp/udp/http/ftp/默认使用全部支持的协议
  方向：src/dst/默认使用src or dst 例：host 10.2.2.2例：src or dst host 10.2.2.2
  类型：net/port/host/默认使用 host例：src 10.1.1.1 例：src host 10.1.1.1

• 逻辑运算符

  与 &&
  或 ||
  非 ！
  例：src 192.168.0.10 && port 80 即抓源地址指定源端口或目的端口80的数据包

  例：根据主机名和地址过滤
  host 192.169.0.10 //只抓取ip为192.169.0.10的数据包
  ether host 00-50-56-C0-00-01 //指定MAC地址过滤
  src host 192.168.0.10 //从192.169.0.10发出的包
  dst host 192.169.0.10 //发往192.169.0.10的包
  ether src host 00-50-56-C0-00-01 //从00-50-56-C0-00-01发出的包
  ether dst host 00-50-56-C0-00-01 //发往00-50-56-C0-00-01的包

  例：根据端口和协议过滤
  port 8080 //只抓端口8080
  !port 8080 //抓端口8080之外的流量
  dst port 8080 //只抓前往端口8080的流量
  icmp //只抓icmp流量
  ！broadcast //不抓广播包

封包详细信息

Frame: 
        物理层信息|wireshark添加，捕获时间+编号+帧长度+帧所含协议
Ethernet II: 
        数据链路层信息|目的MAC地址+源MAC地址+上层协议类型+数据字段+校验
Internet Protocol Version 4:
        网络层信息|版本、头部长度、总长度、标志位、源/目的ip地址、上层协议等
Transmission Control Protocol:
        传输层信息|源/目的端口、序列号、指望的下个序列号、确认号、头部长度、标志位、窗口长度、校验和等
Data:
        应用层信息|内容由应用层协议决定、此处为ftp协议显示响应内容