Wireshark网络抓包工具入门

简介:

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是抓取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

最新版下载地址https://www.wireshark.org/#download  历史版本下载地址:https://www.wireshark.org/download

这个软件是免费的,支持win,mac,linux

请注意,最新版不支持win xp,win xp的最新版为Wireshark-win32-1.10.14.exe (https://www.wireshark.org/download/win32/all-versions/Wireshark-win32-1.10.14.exe

winxp 版本界面:

wireshark-1

2.0.4版本界面

wireshark-2

 

Hello World:

 

1. 选择网卡点击开始
wireshark-3

2. 开始抓包,界面布局
wireshark-3-1

3. 增加显示过滤条件,只显示 www.baidu.com 相关的包
wireshark-4

4. 用浏览器打开百度,查看抓包信息

wireshark-5

5. 按ip地址过滤

wireshark-6

6. 按端口过滤

wireshark-7

7. 如果你的HTTP协议端口不是80,比如18000,那么wireshark默认是无法解析成http协议的。可以这样修改配置,菜单:Edit->Preferences

wireshark-8

wireshark-9

常用的过滤条件

表达式可以是==,    !=,     >=,     <=,     contains,     matches,   条件可以是 and ,or

1.查看与指定ip端口的通信数据数据包,端口80并且ip为124.243.204.153

tcp.port==80 and ip.addr==124.243.204.15

2.目的ip:

ip.dst_host==192.168.1.100

3.目的端口:

tcp.dstport==80

4.按协议过滤,比如http协议,直接输入http

5. 同时查看多个端口
tcp.port in {80 443 8080}

6.多个源ip
ip.src==10.0.0.5 or ip.src==192.1.1.1

7. 协议内容,比如请求uri包含api的
http.request.uri contains "api"

发表评论

电子邮件地址不会被公开。 必填项已用*标注