wireshark初使用

最新推荐文章于 2025-10-31 04:59:09 发布
原创 最新推荐文章于 2025-10-31 04:59:09 发布 · 633 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#wireshark

wireshark的使用

基本使用

wireshark的基本使用分为:数据包筛选、数据包搜索、数据包还原、数据提取

捕捉过滤器语法

语法:<Protocol><Direction><Host(s)><Logical Operations><Other expressinon>
Protocal(协议):ether,fddi,ip,arp,rarp,decnet,lat.sca,moprc,mopdl,tcp,udp等
Direction(方向):src(源地址),dst(目的地址),src and dst,src or dst,默认src or dst
Host(s):net,port,host,portrange 默认“host” 其中“src 10.1.1.1”与“src host 10.1.1.1”等价
Logical Operation(逻辑运算):not(优先级最高),and,or

常见使用的捕获过滤语句
  1. port 80 and http #捕获所有经过该接口的http流量。如果HTTP端口80是8080,就把80改成8080
  2. not port 80 and !http # 捕获除 http 之外的其他所有流量
  3. dst 192.168.4.155 #捕获目的主机均为192.168.4.155
  4. src 192.168.4.155 #捕获来源主机均为132.168.4.155
  5. net 192.168.4.0/24 #捕获网段为192.168.4的所有主机的所有流量
  6. port 53 #捕获接口中的所有主机的DNS流量 sip的默认端口是5060 ,ssh的默认端口是22,电子邮件协议(SMTP,POP3,IMAP4)的端口是25且portrange 110-143
  7. src 192.168.4.155 and port 53 #只捕获主机192.168.4.155 对外的DNS的流量
  8. dst 192.168.4.155 and port 53 #只捕获DNS服务器相应主机192.168.4.155的DNS流量
  9. (!)arp #捕获接口中的所有(非)arp请求
  10. tcp portrange 8000-9000 and port 80#捕获端口8000-9000之间和80端口的流量
  11. vlan and host 192.168.4.155 and port 80 #捕获vlan中主机192.168.4.155.局域网中有vlan
  12. vlan #捕获所有的Vlan流量
  13. pppoes and host 192.168.4.155 and port 80 #捕获主机
  14. pppoes #捕获所有的pppoes流量

参考博客:https://blog.youkuaiyun.com/king_cpp_py/article/details/80815733

数据包筛选
  1. 源ip筛选:ip.src == 地址
  2. 目的ip筛选: ip.dst == 地址
  3. 筛选目标MAC地址: eth.dst == A0:00:00:04:C5:84
  4. 筛选MAC地址: eth.addr == A0:00:00:04:C5:84
  5. tcp.dstport == 80 #筛选tcp协议的目标端口为80的流量包
  6. udp.srcport == 80 #筛选udp协议的源端口为80的流量包

协议筛选

筛选协议为tcp/udp/arp/icmp/http/ftp/dns/ip的流量包

包长度筛选

  1. upd.len(gth) =(>)= 20 #筛选长度为(大于)20的udp流量包
  2. frame.len == 20 #筛选长度为20的整个流量包

http筛选请求

  1. http.request.method == “GET(POST)” #筛选HTTP请求方法为GET(POST)的流量包
  2. http.request.method == “/img/logo-edu.gif” #筛选HTTP请求的URL为/img/logo-edu.gif的流量包
  3. http contains(matches) “password” #筛选HTTP内容为password的流量包(请求或响应中包含特定内容)

数据包搜索

在wireshark界面按“Ctrl+F”进行关键字搜索,它的搜索功能支持正则表达式、字符串、十六进制等方式进行搜索。

区域分布

在这里插入图片描述

数据包还原

在wireshark中,存在一个交追踪流的功能,可以将HTTP或TCP流量集合在一起并还原成原始数据。
即选中想要还原的流量包,右键选中,选择追踪流 – TCP流/UPD流/SSL流/HTTP流。之后可以在弹出的窗口中看到被还原的流量信息。

数据提取

Wireshark支持提取通过http传输(上传/下载)的文件内容

  1. 选中http文件传输流量包,在分组详情中找到data或者Line-based text data:text/html层,鼠标右键点击 – 选中“导出分组字节流”。
  2. 如果是菜刀下载文件的流量,需要删除分组字节流前开头和结尾的X@Y字符,否则下载的文件会出错。鼠标右键点击 – 选中“显示分组字节”。

排查异常流量

  1. 看Ip的发包数量,统计ipv4——statistics
    攻击者:统计发包最高的(但是有可能会是伪造的ip)
    受害者:统计接受包和发包(响应)最高的

  2. 过滤出(可疑IP)客户端和服务端的交互信息
    ip.addr = = xxx.xxx.xx.xxx && ip.addr ==xxx.xxx.xx.xxx

  3. 判断是否有hacker在进行web扫描,可以使用如下语句
    http.response.code == 404 #如果有hacker在进行web扫描,就可以看到有大量从服务器80端口返回给hacker ip的404响应包

判断hacker的攻击方式

  1. 正向搜寻流量
  2. 利用扫描器指纹库反向查找
    使用过滤语法查找关键字 http matches “xxx”

关于wireshark语句
wireshark基本介绍

borrrrring
关注
Wireshark lua 插件简介
村中少年的专栏
01-05 3826
简单介绍在使用lua插件过程中可能会遇到的一些问题以及解决办法
计算机网络中Wireshark的简单使用与分析
weixin_51109735的博客
12-23 3013
Wireshark应用实验数据链路层网络层传输层应用层 数据链路层 熟悉 Ethernet 帧结构 其中: ff ff ff ff ff ff: 接受计算机的MAC地址(目的MAC地址) 38 de ad 0f 28 7d: 发送计算机的MAC地址(源MAC地址) 0800: 使用IPv4协议传输 了解子网内/外通信时的 MAC 地址 我的IP 10.60.220.2 ① ping 你旁边的计算机(10.60.163.120),同时用 Wireshark 抓这些包,记录一下发出帧的目的 MAC 地
ssh 默认端口不是22时的一些问题
weixin_39925939的博客
06-05 2945
ssh 默认端口不是22时的一些问题
wireshark
夜车星繁的博客
06-19 5921
晚上看渗透教程看的很懵。。。 在此水一篇教程,接下来会努力学习写出好的博客。 Wireshark界面说明 过滤器表达式书写是wireshark使用的核心,但在此之前,很多学者还会碰到一个难题,就是感觉wireshark界面上很多东西不懂怎么看。其实还是挺明了的我们下面简单说一下,如下图。 1号窗口展示的是wireshark捕获到的所有数据包的列表。注意最后一列Info列是wires...
Wireshark自定义协议字段默认值:配置方法
最新发布
gitblog_00769的博客
10-31 306
在网络分析工作中,您是否经常需要重复修改Wireshark协议解析的默认参数?例如每次捕获都要调整端口号范围或数据格式?本文将详细介绍如何通过Extcap机制自定义协议字段默认值,让分析流程更高效。完成后您将掌握:配置文件编写规范、默认值生效原理及常见场景适配方案。 ## 核心配置机制解析 Wireshark通过Extcap(外部捕获接口)实现协议字段的动态配置,其核心定义位于[extcap_...
Wireshark使用技巧:手动指定协议解析非标准端口网络包
随心而动
10-12 2548
Wireshark是一款非常流行的开源网络包协议分析工具,可以用于解析各种网络协议:IP、TCP、UDP,还有各种应用层的协议HTTP、FTP、Mysql、PG等等。Wireshark内置了一些常见的协议,打开pcap包时候,Wireshark一般都能自动识别并使用对应的协议进行解析。但有时候也会碰到一些特殊情况,比如Mysql端口并非默认的3306端口,而是改成了13306,Wireshark就会识别不了,只能识别到TCP协议。
使用wireshark分析mqtt数据配置端口号
grfstc的博客
01-28 2108
但是wireshark显示的emq服务器是MQTT协议,自研服务器显示的是TCP协议,一直理解不了为什么识别出来不一样。抓包对比了emq服务器和自研服务器的报文,甚至把用户名和密码改成一致了,报文没有区别,就是不识别自研服务器的报文。看到别的博客说要配置端口号,默认端口号为1883。在wireshark的“编辑”-》“首选项”-》“Protocols”-》“MQTT”中设置端口。新的wireshark可以直接支持MQTT协议不需要安装插件。端口号改为8800即可解决识别MQTT协议问题。
wireshark强制解析数据-解决应用数据没有使用默认端口,wireshark无法识别的问题
刘贝斯老师的博客
02-28 3861
如果应用数据没有使用默认端口,那么wireshark就无法识别是什么应用 问题描述: 比如HTTP协议默认使用的是80端口,但是在某些环境中修改成了81,那么wireshark是无法识别到的(为了做实验,我用tcprewrite手动改的) 解决方法(两个): 方法一: Decode as (解码为),把81端口解析为http 方法二: 调整配置,让wireshark默认把81端口解析为htt...
wireshark常见使用操作讲解以及几个故障解决案例分享
网络之路Blog(其他平台同名)
12-29 1467
关于wireshark一直群里都让我出一个专题课,其实这个并不好出,因为wireshark本身是一个协议抓包工具,前提你得对各种协议本身比较了解,能够看得懂,你才能从抓包的内容中得到需要的内容,而网络协议实在是太多太多了,并不能说全部介绍到的,也可以发现博主的课程里面,在讲解某一个协议技术的时候,都会抓包分析以及讲解包的结构,这个就是为了能够更好的理解这个协议,也是抓包真的遇到的时候,能够看得懂。服务器端由于某种原因,应用进程奔溃了,无法正常建立三次握手,所以在收到SYN的时候直接回应RST、ACK。
Wireshark体验
04-17
通过Wireshark,你可以深入了解网络通信过程中的细节,包括协议的使用、数据的传输和网络性能等方面。 使用Wireshark时,你可以按照以下步骤进行体验: 1. 下载和安装:首先,你需要从Wireshark官方网站...
wireshark体验头歌
11-24
以下是Wireshark体验的步骤: 1. 下载并安装Wireshark软件。 2. 打开Wireshark软件,选择需要抓包的网络接口。 3. 点击“开始捕获”按钮开始抓包。 4. 进行需要测试的操作,例如打开一个网页或者发送一个网络请求...
3.4 Wireshark 步入门 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-04
3.4 Wireshark入门 在深入研究Wireshark的功能之前,我们需要了解其历史和优势。Wireshark起源于1998年的Ethereal项目,由Gerald Combs创建,后因法律问题更名为Wireshark,并持续发展至今,成为全球最流行的...
wireshark:捕获实时网络数据
OceanStar的博客
11-29 5907
引言 捕获实时网络数据是wireshark的主要功能之一。 wireshark捕获引擎提供如下功能: 从不同类型的网络硬件(比如以太网)捕获 同时从多个网络接口捕获 在不同的触发器上停止捕获,例如捕获的数据量、运行时间或数据包数量。 在wireshark捕获时同时显示解码包 过滤数据包、减少要捕获的数据量 在进行长期捕获时将包保存在多个文件中,可以选择在固定数量的文件中进行旋转(一个“ringbuffer”)。 欢迎屏幕的“捕获”部分 当您打开Wireshark而没有开始捕获或打开捕获文件时,它将显示“
wireshark简单使用
h1580824951的专栏
09-16 1万+
1.设置网卡: 可以用ipconfig核对一下ip地址,确认一下选择的对不对 2.ping一下百度查看百度的ip地址(隔一段时间会变,每次做实验前重新ping一下) 3.开始捕获,并且在浏览器中访问百度首页 4.停止捕获,并在显示过滤器中输入以下,表示筛出和百度相关的网络访问,前三帧数据是握手,第四帧TLSv1.2是HTTPS协议里面的 参考: https://jingyan.baidu.com/article/8cdccae9385fe9315413cda6.htm..
解决Wireshark 服务运行于非默认端口问题
weixin_34319640的博客
07-15 148
解决Wireshark 服务运行于非默认端口问题 参考: http://laurachappell.blogspot.com/2010/04/when-wireshark-gets-confused.html http://seclists.org/wireshark/2009/Dec/159 http://www.wireshark.org/do...
wireshark 转端口显示
【北京小乙】的专栏
10-19 3438
现象是这样的:
wireshark中http协议显示为VNC协议修改
魏云舒的博客
06-29 1204
文章目录1. 问题2. 分析3. 解决4. plus 1. 问题 在接口中抓包,然后用wireshark打开查看,需要的http此时都变成了VNC 点击VNC层,则能够显示出http包的内容 那么protocol如何以http的形式展示 2. 分析 我们抓取的这些包来自于端口5900,在应用层有较多的协议,wireshark打开时并不知道采用哪个协议去对应,这个时候使用VNC协议刚好能够解析,我们就看到的Protoco对应的VNC。 3. 解决 编辑 -> 首选项 -> Protocol
通过Wireshark分析HTTP协议
热门推荐
wz_cow的博客
07-22 5万+
0x01 HTTP介绍 1. 什么是HTTP HTTP(HyperText Transfer Protocol,超文本传输协议)是Web系统最核心的内容,它是Web服务器和客户端直接进行数据传输的规则。Web服务器就是平时所说的网站,是信息内容的发布者。最常见的客户端就是浏览器,是信息内容的接受者。 HTTP(HyperText Transfer Protocol,超文本传输协议)协议是用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值