贾大师 发表于 2017-9-7 10:11:26

wireShark工具使用笔记

wireShark工具使用笔记
我们使用wireshark抓包,却不知道如何分析这些包,也无法从海量的包中提取自己需要的数据,下面简单介绍下wireshark的使用和过滤规则。下载与安装http://p3.pstatp.com/large/32220004d49f335afeb9启动wireSharkhttp://p1.pstatp.com/large/37ca0001dbbe9cebc06b使用wireshark常用的过滤命令http://p3.pstatp.com/large/37c70001d6a92489bf21借鉴部分百度经验图片过滤源ip、目的ip过滤源ip、目的ip。在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1;http://p3.pstatp.com/large/37c90001debda3098144端口过滤端口过滤。如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包;http://p3.pstatp.com/large/37cb0001d44ead433f16协议过滤协议过滤比较简单,直接在Filter框中直接输入协议名即可,如过滤HTTP的协议;http://p3.pstatp.com/large/37cd000008994e175af9http模式过滤http模式过滤。如过滤get包,http.request.method=="GET",过滤post包,http.request.method=="POST";http://p3.pstatp.com/large/37cc0001d3e99ce1a6ba连接符and的使用(and也可以用&&)。过滤两种条件时,使用and连接,如过滤ip为192.168.101.8并且为http协议的,ip.src==192.168.101.8 and http。http://p1.pstatp.com/large/37cd0000099214478ab0查看过滤数据,在要查看的记录右击,在此我选择http流http://p1.pstatp.com/large/32220004d80d7699ddd7会弹出一个新窗口,告诉你捕获到的数据信息http://p3.pstatp.com/large/37c70001d9788b0962f7你也可以查看你当前的过滤详情情况http://p3.pstatp.com/large/37cc0001d5110536f48b下图就是过滤的详情http://p3.pstatp.com/large/32220004d8c6e3335d9c更多功能你可以尝试不同菜单。多用于看或许你有更多的理解和收获。分享是一种美德,牵手是一种生活方式。最后感谢今日头条提供的分享平台,你觉得有用可以收藏方便以后查阅。

页: [1]
查看完整版本: wireShark工具使用笔记