Wireshark使用指导
安装
注意:最新版本在win7系统不可用,若是win7系统需要安装旧版本(Wirehshark-win64-3.2.6)方可使用
使用
-
打开Wireshark,选择拦截分析的网卡,此图选择“本地连接8”
wireshark1.png
-
选择网口之后可以看到抓包的数据
数据包.png
-
过滤要分析数据,下图以ip地址为例
过滤.png
过滤器
分类
捕获过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 显示过滤器(DisplayFilters):在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。
过滤器分类.png
规则
捕捉过滤器
1. 语法
捕获过滤器.png
2. 示例
dst host 192.168.2.2 // 显示目的IP地址为192.168.2.2的数据包
src portrange 2000-2005 //
tcp port 89 and tcp port 44
not icmp
显示过滤器
1. 语法
显示过滤器.png
- Protocol 可参照捕获过滤器中的协议类型
- String1.String2 的可选项,可在显示过滤器输入协议之后会有提示对应有哪些选项可用
expression.png
2. 示例
http.request.method in {"HEAD" "GET"}
tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == 0.6.29
http.host matches "acme.(org|com|net)"
!(ip.addr == 1.2.3.4)
ip.src!=10.0.0.5
示例1.png
示例2.png
函数
| 函数 | 描述 | 例子 |
|---|---|---|
| upper | 转大写 | upper(http.server) contains "APACHE" |
| lower | 转小写 | lower(http.server) contains "apache" |
| len | 长度(byte) | len(http.request.uri) > 100 |
| count | 数量 | count(ip.addr) > 2 |
| string | 转字符串 | string(frame.number) matches "[13579]$" |
