简述
Wireshark是一个网络数据包分析软件。使用WinPCAP作为接口,直接与网卡进行数据报文交换。
网络管理员用它来检测网络问题;
网络安全工程师用它来检查安全相关;
开发者用它来为新的通信协义排错;
普通使用者用它来学习网络协议的知识;
“居心叵测”的人用它来寻找一些敏感信息…
相对于TCPdump来说,W更友好,功能更强大。
本篇,将介绍认识界面、设置捕获条件、使用过滤器、着色规则、使用图表这五个方面。
环境
系统:Mac OS
W版本:v2.6.1
启动后遇到权限问题,处理方法:
sudo chmod 777 /dev/bpf* //网卡权限
认识界面
释义:
设置捕获指定网卡流量
我承认这个名字我看完之后都不明白。我后悔了,改成“设置要捕获的网卡”更贴切。
显示表达式,显示表达式点选
有时我们捕获的太多,不限于ARP、DNS、HTTP、TCP…,但是你想要看的可能只有”tcp.port == 80″的包,通过类似的表达式,可以让W过滤出与表达式匹配的内容。“显示表达式“ ”显示表达式点选”二者功能相同,区别在于前者用户可以直接输入表达式,后者可通过W提供的图形化界面去生成表达式。
过滤出来我们要的结果后,如何返回到最初的捕获界面呢?两步走:
– 删除显示表达式
– 点击“Expression”左侧的右箭头
设置捕获条件
如: port 80,也可在下图中的“Capture filter for seleted interfaces”中设置。
“Enable promiscuous mode on all interfaces”: 可捕获到局域网中所有的数据包,不勾选,只捕获你和目标服务器之间的数据包。
当你准备好,点击Start,然后访问你要访问的域名,再回来。
停止抓包见左上角。
使用显示过滤器
显示过滤,有两种方式:
下图中,应首先点击右上角下方的比较模糊的英文单词”Expression”
着色规则
抓到的包形形色色,每种类型的包有默认的颜色区分,查看方法:
使用图表
Wireshark的IO图让可以对网络上的吞吐量绘图。让你了解网络数据传输过程中的峰值和波动情况。通过“Statistics”菜单中的“IO Graphs”选项可以打开这个IO图对话框
至此,W的基本使用可以了。
但是,通过查看抓到的数据包,发现,还有好多要学习的。OSI七层参考模型以及其中的TCP、UDP协议,ARP,DNS,HTTP,HTTPs…这可都是非常重要基础知识,加油!
参考链接: https://blog.csdn.net/zjy900507/article/details/79303359