Wireshark基础

wireshark简介：

wireshark是一款用于追踪网络流量的辅助工具，帮助捕获、分析网络封包，并进行分析。 主要功能：     1.网络分析任务         查看网络中通信的情况、查看主机与其他设备的数据交互，无人值守时捕获网络数据，分析网络协议等。     2.故障排除任务         查找网络延迟原因，查找应用程序通信错误原因，查看网络配置错误等。     3.安全取证任务         在网络流量中查找攻击者信息，确定攻击手段与攻击路径，确定安全成果等。  

wireshark使用:

wireshark的List面板里又7个信息，分别为： NO:数据包编号 Time:相对时间 Source:原地址 Destination:目的地址 Protocol:协议类型 Length:长度 Info:摘要信息

数据包格式:

Details Details 面板展示了此数据包的细节信息，从上到下依次是 Frame:数据帧头部信息 Ethernet II :数据链路层的数据帧(以太网)头部信息 Transmission Control Protocol:传输层的数据段(TCP)头部信息 Hypertext Transfer Protocol:应用层（HTTP）信息 过滤器 Wireshark是网络流量分析软件，在计算机中的网络流量是十分庞大的，这些流量也需要缓存或者保存下来，所以第一步捕获所需要的流量，进一步丢弃无用的流量。 对流量的捕获首先需要确定是使用哪个网卡的接口，一般来说计算机具有有线网卡和无线网卡，服务器也具备多个网卡，选择正确的网卡才可以进一步捕获我们想要的流量。 选择捕获接口的时候可以按住Ctrl进行多个捕获 捕获过滤器语法 根据MAC筛选 捕获单个MAC :ether host 00:00:5e:00:53:00 捕获源/目的MAC:eter src/dst 00:00:5e:00:53:00 排除MAC: not ether host 00:00:5e:00:53: 根据IP筛选 捕获单个IPV4:host 192.168.111.51 捕获单个IPV6:host fe80::69f8:8a72:6a7a:f68 排除单个IP:not host 192.168.111.51 捕获源/目的地址：src/dst host 192.168.1.1 捕获单个域名：host www.sangfor.com.cn 复杂条件:host 192.168.111.51 or host www.baidu.com 显示过滤器 通过设置捕获过滤器，可以丢弃无用的包，但是我们有时候需要通过设置显示过滤器，来查看指定的数据包 显示过滤器语法 按照特定字段进行过滤，协议或应用后面输入符号“.”,可根据提示信息输入 红色：语法错误 绿色：语法正确 黄色：语法正确，也可能无结果 语法： 指定IP地址：ip.addr == 192.168.28.132 指定源IP地址: ip.src == 192.168.28.132 指定目的IP地址: ip.dst == 192.168.28.132 tcp端口不为80: tcp.srcport !=80 tcp端口不小于1024:tcp.srcport <1024 逻辑运算符： 1.与-->&&-->and 2.或-->|| ---> or 3.异或-->^^-->xor 4.非--->!--->not ip.addr == 192.168.111.51 and http contains POST #所有http请求中以GET形式的 http.request.method == GET 其他的过滤手法：