Wireshark数据包分析及工具使用学习总结

Wireshark 数据包分析及工具使用-学习总结Wireshark常用功能总结-列表显示全部网卡的网络包状况：一般用的很少；-显示抓包选项：一般都是点这个按钮开头抓包；--列表显示全部网卡的网络包状况：一般用的很少；-显示抓包选项：一般都是点这个按钮开头抓包；-开头的抓包：一般用的也很少；-停顿抓包：当你抓完包之后，就是点这个停顿了；-清空当前已经抓到的数据包并连续抓包：可以防止抓包时间过长机器变卡。3-3-1Wireshark1.8.3菜单栏而实际上，一般我们只要知道上面按钮的功能，就可以完成抓包了，剩下相关功能使用的介绍。第一个按钮：列表显示全部网卡的网络包状况信息可以点击后面的【Details】猎取。些网卡之后可以选择下面的【Start】按钮开头抓包Options】按钮设置更多的抓〔显示抓包选项〕3-3-2Wireshark1.8.3网卡列表其次个按钮：显示抓包选项点开后如以以下图所示，列出了比第一个按钮更多的抓包设置选项，第一个按钮侧重于网卡的信息，而其次个按钮侧重于抓包前的设置。这个按钮可以设置〔混杂模式〔抓了多少个或多长时间等，最重要的设置是抓包的过滤条件，双击列出的某个网卡的信息，就会弹出过滤条件设置的对话框，〔CaptureFilter中就是要写抓包规章的地方，也叫做“过滤规章”，写完过滤规章后要记得编译〕，如以以下图所示3-3-3Wireshark1.8.3抓包设置选项3-3-4Wireshark1.8.3设置捕获时过滤规章第三个按钮：开头的抓包Start比较少第四个按钮：停顿抓包当你抓完包之后，就是点这个停顿了第五个按钮：清空当前已经抓到的数据包并连续抓包假设包累计过多的话会对效率有影响，这时可以将前面的包的数据去除文件保存和导入当抓包完毕之后，假设你需要把抓到的数据包保存留给以后分析，那么可file，然后点SaveAs保存抓到的数据包〔可以保存成多种格式，因此可以被很多其他的软件分析import或open导入数据包文件通过软件加以分析。Wireshark捕获时过滤数据包wireshark过滤条件的设置包括捕获时过滤和显示时过滤两种。捕获时过滤是捕获时依据设置的过滤条件捕获符合条件的，从而可以削减捕获的数据包的数量。显示时过滤是依据已捕获的数据包选择那些符合过滤条件的数据包来分析。两者过滤条件的设置格式和设置场合也是不一样的，首先来总结一下捕获时过滤的格式。捕获时过滤的过滤条件的格式如下所示：3-3-5捕获时过滤条件格式Protocol〔协议：可能的值：ether、fddi、ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcpandudp假设没有特别指明是什么协议，则默认使用全部支持的协议。Direction〔方向〕：可能的值：src,dst,srcanddst,srcordst“srcordst”作为关键字。例如，”host10.2.2.2″与”srcordsthost10.2.2.2″是一样的。Host(s)：可能的值：net,port,host,portrange.假设没有指定此值，则默认使用”host”关键字。例如，”src10.1.1.1″与”srchost10.1.1.1″一样。Value和前面host对应的值，比方为port的话value80，参与为host的话，value212.112.2.3。LogicalOperations〔规律运算〕：可能的值：not、and、or否(“not”)(“or”)和与(“and”)具有一样的优先级，运算时从左至右进展。“not“nottcpport3128andtcpport23″与”(nottcpport3128andtcpport23″一样。“nottcpport3128andtcpport23″与”not(tcpport3128andtcpport23)”不同。在书写的时候留意，Protocol要与Host(s)相对应。value是Host(s)的值。当protocol为tcp时说明是传输层的过滤，则Host(s)必需为port，就不能为host、netprotocolipHost(s)host、netport。hostnet时还可以指定netmask，如下例所示：netnet202.115.36.0mask255.255.255.0srcportrange2023-2500hostportrangesrcportrange2023-2500Wireshark显示时过滤数据包显示时过滤的过滤条件的格式如下所示：3-3-6捕获时过滤条件格式Protocol〔协议〕:可以使用大量位于OSI27层的协议。点击”Expression…”按钮后可以看到它们。比方：IP，TCP，DNS，SSHString1，String2(可选项)：协议的子类。点击相关父类旁的”+”号，然后选择其子类。英文写法C语言写法含义eq==等于ne!=不等于gt英文写法C语言写