Wireshark的简介

--------------------------------------------------------------

《Wireshark数据包分析实战》这本书其实还很不错,当时买回来只是翻了翻,就被同事借走了,之后公司搬家,这本书也就再也没看到了…,不过我在网上找到了PDF版,这里共享一下(这个也是网上找到的,如果有侵权行为,我会立即删除掉),PDf下载地址>>

这个算扫描版了,建议有兴趣的同学还是购买正版图书 :)

--------------------------------------------------------------

 

Wireshark是一个网络封包分析软件。一般我们主要用它来分析网络数据,干嘛呢?比如分析是否遭受了DDoS攻击(使用Wireshark分析并发现DDoS攻击

看看聊天工具(ICQ软件,比如QQ、MSN)的消息传送(现在全部加密了,聊天内容不能直接查看了)等等…

 

如何使用它呢?

第一步:下载并安装;

可以直接去官网上进行下载(链接地址>>),支持Linux、OS X、Windows

 

第二步:使用

这一步,网上已经有很多很详细的说明了。这里再大概介绍一下:Caputre –> Interfaces 选择要监测的网卡。

默认是监听所有的网络消息(包括TCP、UDP等各种协议的网络请求),如果不进行过滤(Filter)那么你会看看刷刷的网络封包列表,不停的再滚动,根本无从下手。很有可能因为消息过多,而导致你的电脑“卡死”

红色标注的按钮,点击后取消自动滚动列表。方便在查看某个网络消息时,定格消息列表…

 

过滤器有两种:

a、显示过滤器,就是捕获了全部,而通过过滤器来显示满足条件的封包消息(上图中的Filter后面的文本输入框);

b、捕获过滤器,用来过滤捕获的封包,避免捕获过多的记录,在Capture –> Capture Filters中进行设置;

 

二者的操作界面:

 

过滤的规则,有保存、应用、清除三个操作,你使用过的规则,默认如果不保存,在点击输入框右侧下拉按钮时也可以显示。

Save按钮后面的“Playboy”、“GAM”就是我所保存过的规则名称,点击后直接应用该规则了

 

过滤表达式的一些规则:

1、协议过滤;

TCP、HTTP、UDP、HTTP、IP、SMTP、FTP、ICMP、SSL等…,排除某种协议可使用!tcp或者not tcp

2、IP过滤:包括来源IP(src)和目标IP(dst);

ip.dst == 192.168.0.1 多个规则可使用and、or进行组合,支持括号,包括使用contains关键字

3、端口过滤;

tcp.port >= 1 and tcp.port <= 8

4、包长过滤;

(udp.length > 100 and udp.length < 1000)  or udp.length == 1200

5、http模式过滤;

http.request.method == “Get”

 

所有的过滤规则,在应用时,如果表达式正确,会显示“绿色”,否则为“红色”。

比较方便的是,它有自动提示功能^_^

 

 

介绍到这里,一般也就差不多够用了。但默认显示的列数据可能不够用,比如只显示了请求目标的IP,但没有显示请求的url。

默认显示的字段有:No.(列表编号)、Time(时间)、Source(消息源IP-src)、Destination(消息目标IP-dst)、Protocol(协议类型)、Length(封包长度)、Info(请求的相关信息,比如HTTP会显示请求方式、路径等)

 

如果想显示更多信息,可以自已定制。点击菜单 Edit –> Preferences –> User Interface –> Columns

Add –> 输入显示的字段名,然后选择类型,这里可以选择自定义。

然后保存应用即可。

 

封包列表显示的消息发送的情况,那如何查看接口返回的消息呢?以一个HTTP请求为例:

选中要查看的封包消息,右击菜单中选择“Follow TCP Stream”

 

 

 

 

掌握以上这些,平时的工作中差不多够用了。最后分享二篇关于Wireshark很精彩的文章

Wireshark基本介绍和学习TCP三次握手>>

Wireshark过滤器使用规则介绍>>

posted @ 2013-07-30 14:43  meteoric_cry  阅读(3422)  评论(0编辑  收藏  举报