wireshark学习笔记

一、Wireshark 界面介绍

1.捕获报文

• 点击捕获->选项,打开捕获窗口
  • 网卡设备/流量/捕获过滤器,点击“开始”按钮开始抓包
  • 输出(指定缓存文件)/选项(显示、名称解析、自动停止抓包条件) 面板

2.报文展示

3.快捷方式工具栏

4.数据包列表面板的标记符号

二、显示界面设置

1.设定时间显示格式(视图--时间显示格式中设置)

 绝对时间

相对时间

基于某一个数据包的相对时间

后续包临时基于3号包

2.显示大小

放大

 缩小

还原

3.列设置

增加列

修改列

隐藏及删除列

4.名字解析

将Mac地址、IP地址、端口转换成名称,浏览大的情况下慎重开启

三、数据包操作

1.标记数据包

2.会话着色

临时修改数据包着色

永久修改对话着色

3.合并数据包

4.打印数据包

四、首选项设置

1.修改默认打开文件路径(默认是上一次)

2.界面布局

3.修改抓包设置

4.修改名称解析(之前是临时设置)

五、抓包选项设置

1.接口及捕获器设置

2.输出文件配置

3.设置名称解析及自动停止抓包

六、捕获过滤器设置

1.捕获过滤器简介

通过指定条件,减少抓取的报文体积
使用 BPF 语法,功能相对有限

2.捕获器表达式

语法说明

2.1 type类型

host、port
net ,设定子网,net 192.168.0.0 mask 255.255.255.0 等价于 net 192.168.0.0/24
portrange,设置端口范围,例如 portrange 6000-8000

2.2 dir指定网络方向

src、dst、src or dst、src and dst
ra、ta、addr1、addr2、addr3、addr4(仅对 IEEE 802.11 Wireless LAN 有效)

2.3 protocol指定协议类型

ether、fddi、tr、 wlan、 ip、 ip6、 arp、 rarp、 decnet、 tcp、udp、icmp、igmp、icmp、
igrp、pim、ah、esp、vrrp

2.4 逻辑运算

与:&& 或者 and
或:|| 或者 or
非:! 或者 not

2.5.其他

gateway:指明网关 IP 地址,等价于 ether host ehost and not host host
broadcast:广播报文,例如 ether broadcast 或者 ip broadcast
multicast:多播报文,例如 ip multicast 或者 ip6 multicast
less, greater:小于或者大于

3.示例

复制代码
src or dst portrange 6000-8000 && tcp or ip6   抓取源和目标端口范围为6000-8000的流量
src host 192.168.1.1 && dst port 80    抓取源地址为192.168.1.1,并且端口为80的流量
host 192.168.1.1 || host 192.168.1.2   抓取源地址为192.168.1.1或者192.168.1.2主机的流量
!broadcast 不抓取广播包
ether src host 00:00:5e:00:53:00  抓取源MAC地址为  00:00:5e:00:53:00的流量
port 80 抓取80端口流量
arp  只抓取ARP协议流量
icmp 只抓钱ICMP协议流量
tcp src port 22  抓取源端口为22 TCP协议数据包
tcp dst portrange 21-23 抓取模板端口为21-23 TCP协议数据包
官方示例:https://gitlab.com/wireshark/wireshark/-/wikis/CaptureFilters
官方文档:https://www.tcpdump.org/manpages/pcap-filter.7.html
复制代码

七、显示过滤器设置

1.显示过滤器简介

对已经抓取到的报文过滤显示
功能强大

2.语法说明

2.1 比较操作符

2.2 逻辑操作符

2.3 网络方向及协议

参考捕获过滤器

2.4 帮助文档

1.分析--显示过滤器

2.分析--过滤表达式 

3.常用显示过滤表达式

 

官方示例:https://gitlab.com/wireshark/wireshark/-/wikis/DisplayFilters

八、其他功能

1.追踪流

选择数据包,根据协议选择具体的追踪流类型

2.专家信息 

查看会话稳定性

3.统计摘要说明

注意的是该摘要说明是全局的统计

4.协议分成统计

统计流量中不同协议占用的百分比,可以直观的了解哪些流量占用多哪些流量占用少

5.网络节点和会话统计

统计网络会话之间接收和发送的数据包和字节数以及统计会话中每个节点接收和发送的数据包和字节数

网络会话是源和目的都统计,网络节点是单个IP或Mac地址

网络会话

网络节点

5.图标分析

IO图标

网络中的吞吐量进行实时显示

流量图

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 



posted @   百衲本  阅读(360)  评论(0编辑  收藏  举报
相关博文:
·  常见抓包工具配置抓取HTTPS
·  tcpdump抓包命令详解
·  抓包工具Wireshark
·  wireshark初相识一
·  wireshark抓包新手使用教程
阅读排行:
· winform 绘制太阳,地球,月球 运作规律
· 超详细:普通电脑也行Windows部署deepseek R1训练数据并当服务器共享给他人
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· AI 智能体引爆开源社区「GitHub 热点速览」
· 写一个简单的SQL生成工具
cnblogs_post_body { color: black; font: 0.875em/1.5em "微软雅黑" , "PTSans" , "Arial" ,sans-serif; font-size: 15px; } cnblogs_post_body h1 { text-align:center; background: #333366; border-radius: 6px 6px 6px 6px; box-shadow: 0 0 0 1px #5F5A4B, 1px 1px 6px 1px rgba(10, 10, 0, 0.5); color: #FFFFFF; font-family: "微软雅黑" , "宋体" , "黑体" ,Arial; font-size: 23px; font-weight: bold; height: 25px; line-height: 25px; margin: 18px 0 !important; padding: 8px 0 5px 5px; text-shadow: 2px 2px 3px #222222; } cnblogs_post_body h2 { text-align:center; background: #006699; border-radius: 6px 6px 6px 6px; box-shadow: 0 0 0 1px #5F5A4B, 1px 1px 6px 1px rgba(10, 10, 0, 0.5); color: #FFFFFF; font-family: "微软雅黑" , "宋体" , "黑体" ,Arial; font-size: 20px; font-weight: bold; height: 25px; line-height: 25px; margin: 18px 0 !important; padding: 8px 0 5px 5px; text-shadow: 2px 2px 3px #222222; } cnblogs_post_body h3 { background: #2B6695; border-radius: 6px 6px 6px 6px; box-shadow: 0 0 0 1px #5F5A4B, 1px 1px 6px 1px rgba(10, 10, 0, 0.5); color: #FFFFFF; font-family: "微软雅黑" , "宋体" , "黑体" ,Arial; font-size: 18px; font-weight: bold; height: 25px; line-height: 25px; margin: 18px 0 !important; padding: 8px 0 5px 5px; text-shadow: 2px 2px 3px #222222; } 回到顶部 博客侧边栏 回到顶部 页首代码 回到顶部 页脚代码
点击右上角即可分享
微信分享提示