來源:http://bbs.ichunqiu.com/thread-8783-1-1.html?from=ch
我選擇分條做筆記,因為我是看著視頻一條條記得,要不最后就忘了
1、啟動Wireshark并且在接口列表中選擇接口名,然后開始在此接口上抓包。第一次抓取的是本地鏈接數據包,當然可以隨意
2、Wireshark會捕捉系統發送和接收的每一個報文。
3、
4、菜單欄
1. MENUS(菜單)
2. SHORTCUTS(快捷方式)
3. DISPLAY FILTER(顯示過濾器)
4. PACKET LIST PANE(封包列表)
5. PACKET DETAILS PANE(封包詳細信息)
6. DISSECTOR PANE(16進制數據)
7. MISCELLANOUS(雜項)
5、工具欄
- "File"(文件) 打開或保存捕獲的信息。
- "Edit" (編輯) 查找或標記封包。進行全局設置。
- "View"(查看)設置Wireshark的視圖。
- "Go" (轉到)跳轉到捕獲的數據。
- "Capture"(捕獲)設置捕捉過濾器并開始捕捉。
- "Analyze"(分析)設置分析選項。
- "Statistics" (統計)查看Wireshark的統計信息。
- "Help" (幫助)? ?? ???查看本地或者在線支持。
6、DISPLAY FILTER(顯示過濾器)
7、PACKET LIST PANE(封包列表)
8、PACKET DETAILS PANE(封包詳細信息)
9、DISSECTOR PANE(16進制數據)
10、? ???識別數據包的方法
1、數據幀起始點和目的地點是數據的鏈路層
2 、數據包起始點和目的地點是數據的網絡層
3、數據段起始點和目的地點是數據的傳輸層
11、
Display Filters顯示的五種協議信息
1、frame(物理層)
2、etherent 數據鏈路層以太網幀的信息
3、internet protocol version (網絡層IP報的頭部信息)
4、transmission 傳輸層的數據段傳輸信息
5、hypertext??應用層的信息
視頻中未講到的篩選命令以及方法
一、IP過濾:包括來源IP或者目標IP等于某個IP
比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 顯示來源IP
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 顯示目標IP
MAC地址過濾
命令匯總:
eth.addr==20:dc:e6:f3:78:cc
eth.src==20:dc:e6:f3:78:cc
eth.dst==20:dc:e6:f3:78:cc
1、根據MAC地址進行篩選
使用命令:eth.addr==20:dc:e6:f3:78:cc
命令解說:篩選出MAC地址是20:dc:e6:f3:78:cc的數據包,包括源MAC地址或者的MAC地址使用的是20:dc:e6:f3:78:cc的全部數據包。
3、根據目的MAC地址篩選
使用命令:eth.dst==20:dc:e6:f3:78:cc
命令解說:篩選出目的MAC地址是20:dc:e6:f3:78:cc的數據包。
二、端口過濾:
比如:tcp.port eq 80 // 不管端口是來源的還是目標的都顯示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只顯tcp協議的目標端口80
tcp.srcport == 80 // 只顯tcp協議的來源端口80
過濾端口范圍
tcp.port >= 1 and tcp.port <= 80
三、協議過濾:tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
等等
排除ssl包,如!ssl 或者 not ssl
四、包長度過濾:
比如:
udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊數據包之和tcp.len >= 7 指的是ip數據包(tcp下面那塊數據),不包括tcp本身
ip.len == 94 除了以太網頭固定長度14,其它都算是ip.len,即從ip本身到最后
frame.len == 119 整個數據包長度,從eth開始到最后
六、連接符 and / or
七、表達式:!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)八、expert.message是用來對info信息過濾
