WireShark分析TCP HTTP

过滤很关键:

1. 协议过滤

比如TCP,只显示TCP协议。HTTP,只显示HTTP协议

2. IP 过滤

比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,

ip.dst==192.168.1.102, 目标地址为192.168.1.102

3. 端口过滤

tcp.port ==80,  端口为80的

tcp.srcport == 80,  只显示TCP协议的愿端口为80的。

4. Http模式过滤

http.request.method=="GET",   只显示HTTP GET方法的。

5. 逻辑运算符为 AND/ OR

 

实例:1.分析一个主机为x.x.x.x的http协议

http and ip.addr==218.244.129.243

2.为了更清晰的看http 内容,右键,follow TCPstream

3.为了抓取本地回环数据,可以安装Npcap

如果你已经安装了wireshark, 安装前请先卸载WinPcap。如果还提示WinPcap has been detected之类的,那就将C:\Windows\SysWOW64下的wpcap.dll修改为wpcap.dll.old,packet.dll修改为packet.dll.old,

安装时要勾选 Use DLT_NULL protocol sa Loopback ... 和 install npcap in winpcap api-compat mode

 

 

 

 

 

posted on 2017-06-12 16:41  legion  阅读(2275)  评论(0编辑  收藏  举报

导航