wireshark 是最流行的网络分析工具之一。wireshark抓的应该是帧,但是出于习惯称为抓包
网卡在接收到数据后会检查数据是不是发给自己的,如果不是就丢弃,如果是,就将数据交给操作系统,操作系统在把数据交给相应的软件。启动wireshark后,操作系统会把说有经过网卡的数据复制一份给wireshark.而在混杂模式下,网卡则将所有通过它的数据包(不论是否是发给本机的)都传递给操作系统。
显示栏设置:
按照wireshark图片来介绍其功能
包过滤分为显示过滤和捕获过滤。
显示过滤:【分析】--->【Display Filter Expression】 在这里可以选择各种过滤表达式,也可以配置新的过来条件。然后再wireshark的过滤框中选择过来条件
伯克利包过滤:type:表示指带的对象,如 IP地址,子网或端口。常见的有host(表示主机名或ip),net(表示子网),port。如果没有指定,默认为host
dir:表示数据包传输的方向。 src,dst
proto:表示匹配的协议类型。ether,ip,tcp,arp等
实例:(ip.src==11.11.11.11 ) && (tcp.port==80)
捕获过滤器:【捕获】--->【选项】
tcp dst port 80
ip src host 192.168.101.1
src portrange 2000-2500
not icmp
src host 12.3.2.3 and not dst net 12.12.4.5/24
使用wireshark进行抓包的时候即可显示ip也快显示域名,设置如下:【视图】--->【name resolution】--->【解析网络地址】
wireshark中详细信息显示栏共分为3列。第一列表示数据的偏移量,第二列表示以十六进制显示数据内容,第三列表示以 ASCII 码显示数据包的内容。
原文:https://www.cnblogs.com/sinosecurity/p/15037530.html