wireshark是什么
wireshark_logo
wireshark是一款抓取数据包的软件,通过它可以看到局域网内的通讯信息
在使用交换机组建局域网的时代,wireshark堪称监控局域网数据的利器,局域网的普通用户只要通过wireshark把网卡调成"混杂模式",网卡就会把局域网内能看到的数据包都接收下来,然后使用wireshark各种规则进行过滤,最终留下有价值的信息.
现在小型路由器的价格一降再降,路由器正逐步取代交换机.
wireshark所在主机的上层如果是路由器,那么能看到的信息就只有和自己相关的,以普通用户的身份监控局域网的功能基本就废了.
但对于网络管理员来讲,可以把wireshark装在路由器系统内,依然可以监听局域网内所有的信息(较低层次无法解决的问题,对于较高层次来讲根本就不是问题,如果你的渗透能力还不错,就去"接管"路由器吧!)
wireshark软件本身的质量很高,而且其作者也是一个很有开源精神的大牛程序员,所以我们可以在任何平台,免费使用wireshark这款优秀的抓包软件
Wireshark官网(所有非商业软件的主页都是简约大气风格!)
官网主页
Wireshark抓包原理图
抓包原理图
最基本的过滤规则
设置源主机ip为192.168.35.141
ip.src == 192.168.35.141
设置目标主机ip为192.168.35.21
ip.dst == 192.168.35.21
设置监听端口为6379
tcp.port == 6379
逻辑运算
and/ or
ip.addr == 192.168.199.2 and tcp.port == 80 过滤主机地址为192.168.199.2 并且端口为80的数据包
ip.addr == 192.168.199.1 or ip.addr == 192.168.199.2 过滤主机地址为192.168.199.1 或者主机地址为192.168.199.2的数据包
最基本的过滤规则