wireshark(前稱ethereal)是乙個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包,並盡可能顯示出最為詳細的網路封包資料。wireshark使用winpcap作為介面,直接與網絡卡進行資料報文交換。
此工具支援多種網路介面型別,捕捉多種網路介面型別的包。
1.開啟介面
2.選擇抓包介面
注意:工具使用時,部分使用者可能會遇到找不到wifi的無線網絡卡,原因是因為沒有開啟npf服務,可以嘗試開啟cmd視窗,執行net start npf,關閉wireshark後重新開啟即可。
3.包摘要資訊
no. 包的編號,編號不會發生改變,即使進行了過濾也同樣如此
time 包的時間戳。包時間戳的格式可以自行設定
source 顯示包的源位址。
destination 顯示包的目標位址。
protocal 顯示包的協議型別的簡寫
info 包內容的附加資訊
注:開啟抓包工具,瀏覽csdn**,檢視抓包內容
如圖
包詳情(中包的協議及協議字段,協議及字段以樹狀方式組織。你可以展開或摺疊它們),包位元組(通常在16進製制轉儲形式中,左側顯示包資料偏移量,中間欄以16進製表示,右側顯示為對應的ascii字元根據包資料的不同)
捕獲/選項 更改捕捉的網路介面
4.過濾包
a.ip過濾
過濾出源ip和目標ip的包:ip.addr == 47.95.164.112
如圖:
過濾源ip:ip.src == 47.95.164.112
過濾目標ip :ip.dst == 47.95.164.112
b.埠過濾
過濾tcp埠80的包(包括源和目標)tcp.port == 443
過濾tcp源埠:tcp.srcport == 80
過濾tcp目標埠 : tcp.dstport == 443
過濾埠區間:tcp.port >= 443 && tcp.port < 1000
c.協議過濾
直接填寫需要過濾的協議即可
d.包長度過濾
udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊資料報之和
tcp.len >= 7 指的是ip資料報(tcp下面那塊資料),不包括tcp本身
ip.len == 94 除了乙太網頭固定長度14,其它都算是ip.len,即從ip本身到最後
frame.len == 119 整個資料報長度,從eth開始到最後
d.http模式過濾
e.tcp引數過濾
tcp.flags 顯示包含tcp標誌的封包
tcp.flags.syn == 0x02 顯示包含tcp syn標誌的封包
tcp.window_size == 0 && tcp.flags.reset != 1
上述過濾方法可以通過與或隨機組合過濾。
本文簡單介紹下wireshark的基本內容和常見使用方法,如需詳細了解此軟體,wireshark的使用者手冊
抓包工具 wireshark
wireshark 過濾器語法 protocol direction host s value logical operations other expression 例子 tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2 3128 protocol 協議 可能的值 ...
網路抓包工具 Wireshark學習資料
wireshark乙個非常牛逼的網路抓包工具。一系列博文 一站式學習wireshark 一 wireshark基本用法 一站式學習wireshark 二 應用wireshark觀察基本網路協議 一站式學習wireshark 三 應用wireshark io圖形工具分析資料流 一站式學習wiresha...
模仿Wireshark網路抓包工具實現 c
其實叫抓包工具,其實就是抓取流經自己網絡卡的所有ip包,我們能夠按照ip包的協議解析不就行了。實現的核心在這裡 1 建立socket 2 sock socket af inet,sock raw,ipproto ip 3if sock invalid socket 4 8 獲取本機位址 9char ...