wireshark--PC端软件抓包工具
目录
wireshark简述
常用功能介绍
过滤表达式的规则
封包详细信息
抓包教程
一、wireshark简述
-wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容。总结,如果是处理HTTP、HTTPS 还是用charles或Fiddler,其他协议比如TCP、UDP 就用wireshark。
二、常用功能介绍
- Display Filter(显示过滤器),用于过滤
- Packet List Pane(封包列表),显示捕获到的封包, 有源地址和目标地址,端口号。
- Packet Details Pane(封包详细信息), 显示封包中的字段
- Dissector Pane(16进制数据)
- Miscellanous(地址栏,杂项)
三、过滤表达式的规则
- 协议过滤
比如TCP,只显示TCP协议。 - IP 过滤
比如 ip.src 192.168.1.102 显示源地址为192.168.1.102,
ip.dst192.168.1.102, 目标地址为192.168.1.102 - 端口过滤
tcp.port ==80, 端口为80的
tcp.srcport == 80, 只显示TCP协议的愿端口为80的。 - Http模式过滤
http.request.method==”GET”, 只显示HTTP GET方法的。 - 逻辑运算符为 AND/ OR
四、封包详细信息(Packet Details Pane)
这个面板是我们最重要的,用来查看协议中的每一个字段。各行信息分别为:
Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP
Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议
五、抓包教程简述
1、双击有流量的一个网关,进入抓包页面
2、右键source下的所需ip地址,选择 “作为过滤器应用 → 选中”,筛选查看当前ip下的所有接口数据;
3、修改过滤表达式,筛选仅某域名下的http请求;(如:ip.src == 10.234.76.127 && http contains live.youdao.com)这里是直播常用的筛选内容
4、查看接口的response内容