W e S D
0 1

[Wireshark]_002_玩转数据包

通过前一篇文章,我们大概了解了Wireshark,现在可以准备好进行数据包的捕获和分析了。这一片我们将讲到如何使用捕获文件,分析数据包以及时间格式显示等。

1.使用捕获文件

进行数据包分析时,其实很大一部分分析是在数据包捕获后进行的。有时我们还会在不同时间进行多次捕获,并保存下来,然后一起进行分析,可将多个数据包合并。

  [1]导出和保存捕获数据包(File->Save As)

  

  [2].合并数据包,File->Merge,弹出Merge with Capture File窗口。

 

2.分析数据包

我们分析数据包是肯定会遇到大规模的数据包,会有成千上万的数据包,这时候需要高效的在这些数据包中查找,Wireshark可以让我们将符合一定条件的数据包进行标记。

  [1].查找数据包(Control + F)

    [a].Disply filter:通过表达式进行筛选,如: (not ip,ip.addr=xxx.xx.xx.xx,...)

    [b].Hex value:十六进制数进行筛选,如: (ff:ff,...)

    [c].String:字符串进行筛选,如:(response,...)

    [d].查找下一个匹配数据包(control + N),查找前一个匹配数据包(control + B)   

  

  [2].标记数据包

[a].在找到那些符合查找条件的数据包后,可以根据需要对其进行标记(control + M),被标记的数据包将会黑底白字显示。

[b].在packet list 中右键也可对其进行标记,前一个标记shift + control + N  后一个标记shift + control + B

  

  [3].打印数据包

大多数数据包分析会在电脑屏幕上显示,但是我仍有将捕获的数据打印出来的需求,如将标记的数据包打印成一个pdf。

    [a].通过主菜单File->Print,打开Print 对话框,

 

3.设置时间显示和相对格式

[1].时间在数据包分析时十分重要,所有互联网上发生的事情都与时间有关。而且我们需要在数据包中检查时间规律和网络延迟。

[2].所有被捕获的数据包,都会由系统给予一个绝对时间戳,时间相关显示在View->Time Display Format 中找到

  

[3].数据包的相对时间参考(Edit->Set Time Reference),可以让一个数据包作为基准,而后的数据包以此计算相对时间戳。  

 

数据包相关的这篇先暂且玩转到这,下篇我们来一发电子邮件抓包分析!

 

本站文章为 宝宝巴士 SD.Team 原创,转载务必在明显处注明:(作者官方网站: 宝宝巴士 

转载自【宝宝巴士SuperDo团队】 原文链接: http://www.cnblogs.com/superdo/p/4696338.html

 

posted @ 2015-08-02 18:06  SD.Team  阅读(578)  评论(0编辑  收藏  举报