抓包工具的一些功能wireshark

最近在学习一些中间件的时候,想看下系统发出去的包.所以就安装了whireShark工具.

还记得最早使用wireShark的时候是研究生的一个暑假里,用的,那时候啥也不会,却不自知.

最近重新学习一下.简单做一个记录:

# 关闭 交叉报文

有一部分报文的目的地址并不是本机.让wireshark关闭这些报文.

配置项入下:

 

 

进入到Capture -> Options后,将Promiscuous mode勾掉.

 

 

## 过滤选中合适的协议:

例如:适用 当前题中的选择的事 原地址是 192.168.1.104 目标地址是 192.168.1.101的所有的报文. 其中 and表示同时满足,也可以适用 or这种逻辑关系.

其中带有自动提示,报文类型很多. 譬如 tcp.flags.syn ==1 tcp.flags.ack==1 三次握手的协议.这个可以慢慢的看.

 

 

 

## arp协议

根据ip地址查找mac地址的协议.

适用arp来查询过滤arp协议:

 

 

以上报文是当前的路由器广播了直接链接的机器,询问对应的ip地址的mac地址.

然后192.168.1.101收到消息后,回复了这条消息:

 

 

 

 

 ## ICMP协议

适用ping命令就能获取到icmp协议.

 

 

 

 

 

## tcp协议

功能最多,最发展的协议.

//todo

 

## http协议

和tcp类似.

 

## mtr检查网络节点状况

 

适用 apt-get install mtr 安装 mtr小工具.当网络不行的时候,可以适用mtr来测试一下.