wireshark使用及过滤器介绍

最新推荐文章于 2025-03-12 21:35:22 发布
最新推荐文章于 2025-03-12 21:35:22 发布
阅读量5.3k 收藏 33
点赞数 18
分类专栏: wireshark 文章标签: wireshark 网络 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/a56546/article/details/122208788
版权

wireshark使用

wireshark工作原理

wireshark是一个网络封包分析软件,处于混杂模式(Promiscuous)的Wireshark可以抓取改冲突域的所有网络封包。它的基本原理是通过程序将网卡的工作模式设置为“混杂模式”,这时网卡将接受所有流经它的数据帧,这实际上就是Sniffer工作的基本原理:让网卡接收一切他所能接收的数据。Sniffer就是一种能将本地网卡状态设成混杂状态的软件,当网卡处于这种”混杂”方式时,该网卡具备”广播地址”,它对所有遇到的每一个数据帧都 产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。

Wireshark界面说明

在这里插入图片描述

Wireshark界面主要分为三部分

第一部分

在这里插入图片描述

第一部分展示的是wireshark抓取的所有数据包的列表。

注意:最后一列Info是wireshark组织的说明并不一定是数据包中的原始内容

我们可以看到有很多的色彩显示这是wireshark为了区分不同的报文做的颜色提示,可以通过点击上方视图->试图规则,查看并修改。

在这里插入图片描述

其中重要的规则有以下几条

黑色代表报文错误

红色代表各类异常

其他颜色都为正常

第二部分

在这里插入图片描述

第二部分是针对第一部分窗口中选中的数据包的分协议展示

注意:如果出现红色是因为wireshark开启校验和验证而该层协议验证和校验不正确导致

  1. Frame:物理层的数据帧概况
  2. Ethernet Ⅱ:数据链路层以太网帧头部信息
  3. Internet Protocol Version 4: 互联网层IP包头部信息
  4. Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP
  5. Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议

第三部分

第三部分是对第一部分选中的数据包的元数据,其中左侧是十六进制表示右侧是ASCll码表示,当第二部分中选中某层或某字段,第三部分中的对应位置也会被高亮提示。
在这里插入图片描述

wireshark过滤器使用

因为信息量大,有很多的冗余报文。为了方便的从中获取需要的报文,我们必须熟练使用wireshark提供的过滤器,捕获过滤器和显示过滤器。

捕获过滤器

捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。

显示过滤器

显示过滤器是一种更为强大(复杂)的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。

两种过滤器使用时都需要遵守一定的语法,不过在使用的过程中,wireshark提供一些简单常用的过滤命令基本可以满足需求。

过滤规则
符号含义
eq, ==等于
ne,!=不等于
gt,>大于
lt,<小于
ge,>=大于等于
le,<=小于等于
and,&&
or,||
not,!取反
举例

过滤源IP、目的IP

ip.dst==192.168.101.8
ip.src==1.1.1.1

端口过滤

tcp.dstport==80
tcp.srcport==80

http模式过滤

http.request.method=="GET"
http.request.method=="POST"

wireshark使用

当你筛选过后数据包的数量会少很多,我们可以通过右键-》追踪流-》选择相应协议进行追踪,因为我使用的是tcp协议所以我这边只有tcp流可以点击。

点击后弹出窗口即可看到

在这里插入图片描述

主要分为两种颜色红色与蓝色

红色:源地址到目的地址

蓝色:目的地址到源地址

FLAGS字段含义

在TCP层,有个FLAGS字段,这个字段有以下几个标识:SYN, FIN, ACK, PSH, RST, URG.
它们的含义是:
SYN表示建立连接,
FIN表示关闭连接,
ACK表示响应,
PSH表示有 DATA数据传输,
RST表示连接重置。

TCP的SEQ和ACK总结:

在TCP通讯中,无论是建立连接,数据传输,友好断开,强制断开,都离不开Seq值和Ack值,它们是TCP传输的可靠保证。Seq是发送方告诉接收方,我当前从第Seq个字节开始发送len个字节数据(不包括以太网Eth头,IP头和Tcp头,也就是纯数据长度)给你,而Ack则是接收方给发送方回复:接收方回复的Ack=发送方Seq+发送数据长度len。
在建立连接双方握手时,发送方的Seq为0,表示发送的数据长度也为0,这时接收方收到数据帧后,会判断Seq+数据长度为0或者Seq+数据长度为1的话,那么在回应发送方的Ack的值就为1(也就表示确认号有效,为0的话就表示数据包中不包含确认信息(即不含有Ack字段),忽略确认号字段)。
在数据传输中,如果Seq+数据长度不为0或1并且数据长度不为0的话,则回应时的Ack就等于Seq+数据长度的值,这就表示我已经收到Seq+数据长度个字节的数据。发送方收到该Ack就会比较自己的Seq+刚发出去的纯数据长度,如果一致,则回应接收方的Ack,并且发送下一个包,否则将重发该包,若超时还没收到Ack也会重发该包。

请添加图片描述

我是一个努力成长的小白,如果这篇文章对你有帮助记得点赞,如果有不足或者错误欢迎在评论区及时指出。

三十五:Wireshark的捕获过滤器
W楠的博客
12-04 451
捕获过滤器(Capture Filter)用于在网络流量捕获阶段就过滤掉不感兴趣的数据包。与显示过滤器不同,捕获过滤器是在数据包抓取时就进行过滤,确保只有符合特定条件的数据包被捕获并保存到文件中。捕获过滤器通常用于限制Wireshark捕获的网络数据量,减少对系统性能的影响,并更有针对性地捕获用户关心的数据。Wireshark的捕获过滤器是一个非常有用的工具,它能够帮助用户在数据捕获阶段就减少不必要的数据包,从而提高分析效率。
Wireshark系列之6 数据流追踪
08-17
Wireshark系列之6 数据流追踪 一文用到的资源 wireshark
Wireshark 跟踪TCP流
hbspring007的专栏
06-05 7297
打开捕获文件;在一个协议为TCP的包上右击,选择 追踪流-TCP;将进入TCP流追踪;   选择该菜单后,主面板上包列表里,仅列出本次TCP会话的包; 同时会在一个单独的窗口中显示TCP流; 看一下基本是乱码;大体能看出,是http1.1协议;是本机和百度的一个网址通信的情况; 红色是源到目的地;蓝色反之; 先看一下;需要详细解析的时候再说吧;   看一下本次会话最后一个包; eclick.e.shifen.com https(443) [ACK]
Wireshark 常用过滤器
最新发布
qq_26613259的博客
03-12 541
 ​Wireshark 常用过滤器大全,贴合工作实际,涵盖网络排查、安全分析、协议调试等高频需求,助你快速定位问题。
wireshark查看TCP
sinat_35705952的博客
04-11 2537
通过实验一的实验结果,我们可以得知,当客户端发起的 TCP 第一次握手 SYN 包,在超时时间内没收到服务端的 ACK,就会在超时重传 SYN 数据包,每次超时重传的 RTO 是翻倍上涨的,直到 SYN 包的重传次数到达 tcp_syn_retries 值后,客户端不再发送 SYN 包。如果不启用 SACK,就必须重传丢失包之后的每个数据包。接收窗口的大小,是在 TCP 三次握手中协商好的,后续数据传输时,接收方发送确认应答 ACK 报文时,会携带当前的接收窗口的大小,以此来告知发送方。
WireShark对tcp通信数据的抓包
2301_77164542的博客
05-06 4990
这样,原本的第二次挥手(ACK)和第三次挥手(FIN)就合并在了一个TCP报文中,因此抓包工具只会抓取到这个合并后的FIN+ACK报文以及后续的客户端ACK报文,总共是三个包。此时就可以进行数据传输了。[Protocols in frame: eth:ethertype:ip:tcp:data](帧内封装层次协议结构,eth:ethertype:ip:tcp,以太网,以太网协议,ip,tcp)Destination: 00:00:00_00:00:00 (00:00:00:00:00:00)(目标地址)
wireshark数据流跟踪-密码爆破溯源
m0_62621003的博客
06-24 1298
因为爆破的原理就是发送大量的爆破报文去尝试破解密码,所以在端点界面中点击packets,使得排序方式为从大到小排序。就可以在该图中得知192.168.10.5为发起爆破的主机,59.191.245.66为被爆破的主机。将过滤出来的报文,右键一个报文选中追踪tcp流,将数据重组,可以看到报文中携带的用户名以及密码。路径:Analyze-Foloow TCP stream 分析-跟踪tcp流。功能:将TCP、UDP、SSL等数据流进行重组并完整呈现出来。例如:在进行爆破溯源的时候,分析-端点可以进行统计。
Wireshark详解系列(六)——过滤器详解及使用(最好的wireshark过滤器教程)
shonencc的博客
12-19 3533
万字长文,你能找到的最好Wireshark过滤器教程
如何使用Wireshark捕获过滤器
u011186532的专栏
12-26 853
Wireshark 捕获过滤器用于在数据捕获时限制所捕获的数据包类型。与显示过滤器不同,捕获过滤器会直接影响 Wireshark 捕获的内容,而非捕获后显示的内容。
Wireshark显示过滤器使用指南
u011186532的专栏
12-26 2118
显示过滤器Wireshark 的一项核心功能,用于过滤和筛选捕获到的流量。与捕获过滤器不同,显示过滤器作用于已经捕获的数据包,帮助用户在界面上隐藏不相关的数据包,仅显示满足特定条件的数据包。Wireshark 显示过滤器是分析捕获流量的关键工具,灵活的语法和强大的筛选功能能够帮助用户高效定位问题。显示过滤器的语法规则非常灵活,支持精确匹配协议、字段、值等。
TCPTrace-TCP追踪
07-16
TcpTrace-TCP追踪,C#,Java…… 涉及Tcp的都可以用它追踪到。
为什么wireshark有的地方显示的是乱码报文
12-09
为什么wireshark有的地方显示的是乱码 (https://blog.youkuaiyun.com/javajiawei/article/details/84329847)博文中用的几个报文
tcptrace TCP端口监听工具 TCP跟踪
06-11
好用的TCP端口监听工具, 用於調試WCF, SOAP的工具
WireShark过滤器
m0_49476241的博客
09-08 1777
No.:数据包顺序Time:数据包到达时间Source:数据包发送方地址:数据包接收方地址Protocol:通信协议Length:数据包大小Info:简要说明。
Wireshark抓取网卡协议分析(TCP,UDP,ARP,DNS,DHCP,HTTP超详细版本)
热门推荐
CodeGou的博客
07-21 2万+
Wireshark抓取网卡协议分析(TCP,UDP,ARP,DNS,DHCP,HTTP超详细版本)
BUUCTF--Misc---easycap 追踪TCP流
半岛铁盒的博客
05-27 496
打开后发现全是TCP 那就追踪一下TCP流 flag{385b87afc8671dee07550290d16a8071}
通过wirshark抓包处理TCP流并还原文件
qq_63568472的博客
10-21 3092
想要完成这个实验,我们首先先下载wirshark和winhex这两个软件。Wireshark的功能上来看,只是监听网络流量信息并完整的记录下来,起到还原现场的作用。Winhex是一款非常优秀的16进制收费的编辑器。大家可以直接到官网下载。 做实验之前得确保你的手机和电脑到都连到同一个子网,并在电脑上登录QQ,然后打开wirshark,本次实验我们连的的是校园网,所以我们选择WLAN。 在"应用显示过滤器"中输入ip.src==热点的IP地址,针对wireshark最常用的自然是针对IP地址的
Wireshark无法使用mysql过滤器
01-08
### Wireshark 中 MySQL 过滤器的配置与使用 在处理Wireshark中MySQL过滤器无法正常使用的问题时,需了解几个关键方面。确保捕获设置正确以及理解特定于MySQL的数据包筛选语法是解决问题的核心。 #### 正确配置Wireshark以捕捉MySQL通信数据 为了能够有效利用MySQL显示过滤器,在启动数据包捕获前应确认已选择了适当接口并设置了必要的捕获选项。如果目标是在局域网内监控数据库服务器活动,则应当指定涉及的相关主机或子网范围[^1]。 对于MySQL流量而言,默认情况下其服务监听TCP端口3306;因此可以考虑采用如下方式限定捕获范围: ```bash tcp port 3306 ``` 这将仅限于记录进出此端口号上的通讯会话,从而减少无关噪声干扰最终分析过程。 #### 使用恰当的显示过滤表达式 一旦完成初步的数据收集工作之后,下一步就是应用合适的显示过滤条件来聚焦感兴趣的事件。针对MySQL协议层面的操作,可借助内置的支持功能实现精细化检索。例如要查看所有的查询语句执行情况,可以用到`mysql.query`字段匹配机制[^2]。 然而当发现某些预期之外的行为发生——比如自定义创建的过滤规则未能生效——可能是因为版本兼容性差异或是具体命令格式不被识别所引起。此时建议参照官方文档说明调整参数组合形式,并尝试更新至最新稳定版程序环境以便获得更广泛的功能支持和错误修复补丁集合[^3]。 另外值得注意的是并非所有类型的SQL指令都能直接经由简单字符串模式进行定位提取,特别是那些嵌入了特殊字符或者采用了预备编译特性的情况。面对这类复杂场景则往往需要依赖更加高级别的解析技术手段来进行深入挖掘研究。 #### 解决方案总结 - **验证捕获设置**:确保正在监视正确的网络接口并且已经指定了适当的BPF(Berkeley Packet Filter)表达式用于限制输入源。 - **检查Wireshark版本**:保持应用程序处于最新的发行状态有助于规避潜在缺陷影响核心业务逻辑正常运作。 - **查阅手册资料**:遇到难以解释的现象时不吝寻求帮助,访问开发者社区论坛分享经验心得亦不失为一种高效的学习途径。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

曼走丶999

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值