About Wireshark
Wireshark是世界上最重要和使用最广泛的网络协议分析器。它让您在微观层次上看到网络上正在发生的事情,并且是许多商业和非营利性企业、政府机构和教育机构事实上(通常也是法律上)的标准。Wireshark的发展得益于全球网络专家的志愿贡献,并且是Gerald Combs在1998年开始的一个项目的延续。
下图是wireshark界面的截图:
下面介绍一些wireshark的基础用法
1、查找
2、标记:Ctrl+M 或 右键菜单
3、时间显示格式
4、相对时间:Ctrl+T
5、捕获选项:Ctrl+K
6、名字解析
(1)类型
MAC 地址解析(Resolve MAC addresses):MAC 转换成 IP
网络层名字解析(Resolve network-layer names):IP 转换成 DNS 名称(网址)
传输层名字解析(Resolve transport-layer names):将端口转换成协议
使用外部网络名称解析器(Use external network name resolver)
(2)弊端
解析可能失败;
打开捕获文件都要重新解析一遍;
解析 DNS 名字会产生额外流量;
解析过程占用系统资源。
7、协议解析
右键点击数据包,选择 Decode As,创建强制解码器,比如可以强制将 80 端口解析成
FTP 协议,点击 Clear 可清除强制解码器。
8、过滤器
(1)过滤器 BPF 语法
逻辑运算符:与 && 或 || 非!
(2)显示过滤器
可以通过设置自带的过滤表达式来过滤显示数据。
(3)比较操作符
(4)逻辑操作符
操作符 说明
And 两个条件需同时满足
Or 其中一个条件被满足
Xor 有且仅有一个条件被满足
Not 没有条件被满足
(5)过滤器举例
结语
以上就是关于wireshark的一些基础用法!
