写在前面
wireshark作为最优秀的抓包工具,有必要详细的看下其基本用法,所以本文就一起来做这件事吧!
1:初步介绍
打开wireshark首先会进入如下的界面:
想要开始抓包,需要进行如下操作:
接着进入如下的页面:
input选项中是让选择要抓包的网卡,具体如下:
这是我本地的,注意你的不一定和我一样!
流量列有波动的就是有流量产生的网卡,一条线的就是没有流量的网卡。比如本文就是对本地回环地址的网卡抓包。
输出选项设置文件输出方式,如下:
选项:
过滤器,可以录入过滤信息,当然也可以补录,此时抓到的包可能会比较多,且针对性比较弱:
接着进入抓包流程。
2:抓包页面介绍
如下图:
2.1:工具栏
按照不同的功能划分为5个区域。
2.2:过滤器
过滤使用。
2.3:数据包
就是抓到的数据包了。
2.4:数据包细节
通过协议分层的方式进行展示。
2.5:原始字节流
以十六进制形式展示原始的字节流。如果要深入到协议细节,或者是排查可能的协议格式问题时这部分内容是很有用的。
3:常用功能详细介绍
3.1:调整时间列显示
默认是按照时间序列来展示的,可以通过如下操作进行调整。
具有如下三种方式:
3.2:数据包面板左侧符号含义
3.3:流追踪
通过流追踪可以查看按照某种协议方式展示的数据包,一般tcp,http会比较常用,对于像我这种web开发来说,http流追踪是最常用的:
3.4:过滤
过滤分为捕获过滤和显示过滤,捕获过滤是在抓包之前过滤决定是否为要抓的包,是的话才抓包:
显示过滤是对已经抓到的包进行过滤:
3.4.1:捕获过滤
捕获过滤采用BPF语法,全称Berkeley Packet Filter,从Packet Filter也可以看出其是针对数据包过滤而定义的语法。
捕获过滤的一个完整语句,叫做expression表达式,一个表达式由primitive原语和原语运算符构成。
原语由名称值和描述这个值的多个限定词组成,这个值可以是名称也可以是数字,比如端口号啊,域名啊这些,是需要我们来给出的,如下:
限定词type可以有如下的值:
限定词dir方向可以有如下的值:
限定词proto协议可以有如下的值:
3.4.2:显示过滤
显示过滤是wireshark自定义的一种语法格式,因此仅仅适用于wireshark。
- 过滤属性
过滤属性也就是我们要通过谁作为条件来进行过滤,哪些能作为过滤属性呢?只要是协议面板里出现的都可以,如下:
但是我们看到的值并不能直接作为过滤属性的值,比如:
那么应该给什么值呢?可以通过如下操作查看:
其中dhcp的mesage type应该怎么写呢,可以先找到DHCP协议:
接着找到messasge type属性:
因此应该写作:dhcp.option.vendor.bsdp.message_type,如下:
- 过滤值比较符
- 过滤值类型
具体某个过滤属性是什么类型可以通过支持的协议查看:
- 表达式的组合
- 其他常用操作符
- 可用函数
- 过滤器可视化对话框
通过ui的方式辅助我们写过滤表达式:
