wireshark抓包arp解析(wireshark抓包过滤)
wireshark包介绍
我在这里选择了wifi网卡,开始抓包
在上面的文本框中,可以输入用于筛选抓住的包的规则。过滤策略:
如果只看到TCP协议的数据包,则可以输入TCP返回汽车; 如果要查看使用UDP协议的端口,请输入udp.port==端口号并换行。 如果想查看目标IP地址为192.168.1.123的数据包,可以输入
ip.dst==192.168.1.123然后返回车上;
输入多个条件时用and连接
数据包列表区域中的每个协议都使用不同的颜色编码。 协议颜色标记位于菜单栏View -- Coloring Rules中
WireShark 主要分为这几个界面
显示过滤器。 设置数据包列表过滤器的过滤条件。 菜单路径: Analyze -- Display Filters。
2 .数据包列表面板)显示捕获的数据包。 每个包都包含号码、时间戳、源地址、目标地址、协议、长度和包信息。 不同协议的数据包使用了不同的颜色编码表示。
3 .当您选择在包列表中指定的包时,包详细信息pane将在包详细信息中显示包详细信息的所有内容。 “数据包详细信息”面板对于显示协议中的每个字段是最重要的。 各行的信息分别为
(1) Frame:物理层数据帧概述
)以太网ii :数据链路层以太网帧头信息
)3)互联网协议版本4:互联网层IP包头信息
)4)传输控制协议:传输层t的段报头信息,这里是TCP
)5)超文本传输协议: APP应用层信息,这里是HTTP协议
TCP数据包的具体内容
下图显示了wireshark捕获的TCP包中的每个字段。
4. Dissector Pane (数据包字节区域)。
设置Wireshark过滤器初学者使用Wireshark时,会获得大量冗馀的数据包列表,很难找到自己捕获的数据包部分。 wireshar工具附带两种类型的过滤器。 学习使用这些过滤器有助于您从大量数据中快速找到所需的信息。
(1)抓住袋滤器
捕获过滤器菜单栏的路径是Capture -- Capture Filters。在抓取数据包前设置
怎么用? 可以在捕获数据包之前设置以下内容:
ip host 60.207.246.216 and ICMP意味着仅捕获主机IP为60.207.246.216的icmp数据包。 结果如下。
(2)显示过滤器
显示过滤器用于捕获包,然后设置过滤条件以过滤包。 通常,在捕获数据包时设置相对较宽的条件,而在捕获的数据包内容较多时,使用显示过滤器来设置条件的顾虑,以便于分析。 在上述情况下,捕获时也不设置捕获规则,而是通过网卡直接捕获所有数据包。 如下所示
以上介绍了袋滤器和显示滤器的基本使用方法。 如果网络不复杂或通信量少,使用显示过滤器抓住包后再进行处理,我们的使用会很满意。 介绍两者之间的语法及其区别。
wireshark筛选器表达式规则
1、抓住包过滤器的语法和实例
包过滤类型type(host、net、port )、方向dir ) src、dst )、协议proto )、Ether、ip、tcp、udp、http、icmp、ftp等,逻辑
(1)协议过滤
相对简单,直接在包过滤的框中输入协议名称即可。
仅显示TCP、TCP协议的数据包列表
仅显示HTTP、HTTP协议的包列表
ICMP,仅显示ICMP协议的数据包列表
)2) IP过滤
主机192.168.1.104
src host 192.168.1.104
dst host 192.168.1.104
)3)端口过滤器
端口80
src port 80
dst port 80
(4)逻辑运算符和||或! 不
src host 192.168.1.104 dst port 80获取主机地址为192.168.1.80且目标端口为80的数据包
主机192.168.1.104主机192.168.1.102捕获192.168.1.104或192.168.1.102的数据包
! broadcast不捕获广播数据包
2 .显示过滤器的语法和实例
)1)比较运算符
比较运算符包括==等于,=不相等、更大、更小、=以上、=以下。
)2)协议过滤
很简单。 在Filter框中直接输入协议名称即可。 注:协议名称必须输入小写字母。
仅显示tcp、tcp协议的数据包列表
仅显示http、http协议的包列表
icmp,仅显示icmp协议的数据包列表
)4)端口过滤
显示tcp.port==80且源主机或目标主机上端口为80的包列表。
仅显示tcp.srcport==80且TCP协议的源主机端口为80的包列表。
仅显示tcp.dstport==80且TCP协议的目标主机端口为80的包列表。
)5) Http模式过滤
在http.request.method==“GET”中,选择HTTP GET方法的。
)6)逻辑运算符为and/or/not
如果要组合多个条件,请使用and/or。 例如,如果获取IP地址为192.168.1.104的ICMP数据包表达式,则ip.addr==192.168.1.104 and icmp
)7)根据数据包内容进行过滤。 如果要按IMCP层的内容进行过滤,可以单击接口的码流,然后在下面选择数据。 如下所示
右键单击并选择后,将显示以下界面
选择Select后,过滤器将显示以下内容
后面的条件式需要自己填写。 如下所示,希望对data数据包中包含“abcd”内容的数据流进行过滤。包含的关键词是contains 后面跟上内容。
看到这个,我基本上对wireshak有了初步的了解。
参考: https://www.cn blogs.com/MQ 0036/p/11187138.html