wireshark使用小技巧补充

最新推荐文章于 2025-05-13 09:44:57 发布
最新推荐文章于 2025-05-13 09:44:57 发布
阅读量584 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: Wireshark从入门到精通 文章标签: wireshark tips pcap 数据包 流量分析 网络流量
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/javajiawei/article/details/133683604
本文补充了Wireshark的使用技巧,包括协议启用和禁用、字符查找、HTTP重组、保存常用过滤条件、快捷键操作、流量分类、显示列自定义、协议分层统计、着色规则设置、地理位置信息、应用层端口设置和IP掩码过滤。掌握这些技巧能提高数据包分析效率。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前面的文章讲述了wireshark各种的使用场景,见这里。本文将补充说明下wireshark常见的使用技巧,掌握这些技巧有助于帮助我们了解wireshark内置的一些功能,加快数据包的分析速度。

协议的启用和禁用

wireshark默认情况下并不是所有的协议都是启用的,因此在某些情况下,如果某一层解码失败,可以查看是否某些协议解码没有启用,点击分析->启用的协议,如下图:
在这里插入图片描述
筛选未启用的协议,选中需要启用的协议,确认即可。wireshark一共支持多少种协议呢,在视图->内部->支持的协议中也可以有更为详细的统计wireshark所支持的协议,如下图:
在这里插入图片描述
可以看到wireshark4.X的版本支持的协议数量搞到2800+。

字符查找

wireshark提供了多种方式的查找,即显示过滤器匹配,16进制匹配,字符串匹配,正则匹配等四种方式,CTL+F如下图所示:
在这里插入图片描述
可以根据自身需求,在整个数据包中匹配需要的字段和数据,快速定位字符所在数据包。

HTTP重组

wireshark的默认配置会让初学者有些困惑,如下图是HTTP响应包含多个数据包的场景:
在这里插入图片描述
对于HTTP的响应来说,应该是HTTP协议头先传输然后是HTTP的body部分,但是在wireshark默认的情况下,会如上图中所示,将若干个TCP的segment重组之后,在最后一个HTTP的数据包显示重组的结果。这样会给初学者一个错误的暗示协议头是在第1079个数据包中,实际上协议头部是在第221个数据包中,通过设置如下图的选项:
在这里插入图片描述
则会得到下图的结果:
在这里插入图片描述
在分析HTTP数据的时候,后一种的显示方式可能更容易让初学者理解。

保存常用过滤条件

在wireshark 编辑->首选项中可以添加配置经常使用的复杂过滤条件,如下图:
在这里插入图片描述
添加完常用的过滤器之后取个名字,该过滤器会在右上角的位置显示,需要的时候直接点击即可。虽然右上角的三角号也会记录历史的过滤条件,但是数量有限,老的过滤条件会被新的过滤掉件覆盖。因此对于复杂常用的过滤器,建议在此添加。也可以在上述的过滤器工具栏编辑后,然后点击右方的箭头进行过滤条件的存储。

wireshark快捷键和关键路径

在wireshark关于中,提供了wireshark默认的快捷键和功能的映射表,以及各种关键的路径,如下图
在这里插入图片描述
在这里插入图片描述

流量分类

wireshark 提供了一种快速的粗粒度的流量分类方法,如下图:
在这里插入图片描述
通过选中对话过滤器->TCP,则会过滤出同一条TCP流的流量,并在上方的过滤器工具栏显示具体的过滤条件(这与追踪流并显示wireshark内置的流ID不同)。同样的,选中IPV4则会过滤同一对IP之间的流量,选中Ethernet则会过滤出同一对MAC之间的流量。这其中涉及的流,对话,会话等概念详见之前的文章,这里

添加显示列

在分析一些特定协议的时候,可以灵活的编辑显示的列来突出关键的信息,如下图所示:
在这里插入图片描述
通过在首选项->外观->列中添加http的host并勾选,则会在上图的类中展示http的host,这样方便突出关键信息。也可以添加流的编号作为一列,field的值为tcp.stream,这样在抓包的情况下,能够快速的发现是否有新流的建立。

协议分层统计

wireshark提供了按照协议的类别将数据分类的功能,选中统计->协议分级,如下图所示:
在这里插入图片描述
通过上图可以看到各种协议的占比,这提供了一种对于观察异常流量的快速方法

wireshark着色功能

wireshark 提供的着色功能十分的有用,能够将需要关注的数据包高亮出来,视图->着色规则,如下图设置:
在这里插入图片描述
新增一个名称为http erro的着色规则,当http的响应码为4XX和5XX的时候,高亮对应的数据包为红色,就能够在分析的时候起到提醒的作用。可以在此处添加任何需要高亮的数据包和对应的显示过滤器,例如sip.Status-Code > 300 可以高亮出来表示SIP的错误,smb.nt_status > 0以及smb2.nt_status > 0可以高亮出来表示SMB的错误。

地理位置信息

如果想要显示IP的地理位置信息,需要导入对应的IP和地址关系的数据库,wireshark目前支持MaxMind的Geo数据格式,配置->首选项,如下图:
在这里插入图片描述
从maxmind官网下载免费版本的数据库,添加路径即可。

应用层端口设置

应用层协议的解析,wireshark内部会基于端口进行识别,如果应用层协议使用的不是常用端口,例如HTTP使用的不是80端口,需要在协议配置中添加对应的端口,这样wireshark会将该端口的数据解码为HTTP,配置->首选项,如下图:

在这里插入图片描述
可以看到HTTP的默认配置中,也支持常见的其他非80端口的HTTP数据包解析。

IP掩码过滤

wireshark支持子网掩码格式的数据过滤方式,如下图:
在这里插入图片描述
如果关注的是数据内容的分析,往往需要过滤重传包,对应的过滤条件如上图后半段所示。

本文为优快云村中少年原创文章,未经允许不得转载,博主链接这里

Wireshark中实用的设置和使用技巧汇总
村中少年的专栏
12-19 2181
Wireshark中实用的设置和使用技巧汇总
Wireshark 网络分析工具使用
m0_55144954的博客
02-29 423
Wireshark安装与使用
16.WireShark学习-在WireShark中添加新协议
Daylight
07-16 5192
16. 在Wireshark中添加新协议 WireShark编程基础 使用Lua开发简单扩展功能 使用WireShark开发新的协议解析器 测试新协议 WireShark支持Lua语言编写的脚本 16.1 WireShark编程基础 在WireShark中添加lua脚本 到WireShark安装目录中init.lua文件中进行配置 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KSr5RhnR-1594812091036)(3DC5D0517FDF49C4B1A7D86E
Wireshark添加自定义协议解析
lishuangquan1987的博客
12-10 4947
最终效果如下:参考文档:https://mika-s.github.io/topics/此参考文档中7个例子教我们如何编写lua脚本去识别我们自定义的协议
Wireshark:网络协议分析工具的深度剖析
最新发布
weixin_35006125的博客
05-13 399
本文深入探讨了Wireshark——一个强大的网络协议分析工具。介绍了它支持协议、文件格式兼容性、用户界面设计和过滤功能。同时,回顾了Wireshark的发展历史,阐述了其开源特性和广泛的应用场景。文章还详细分析了Wireshark如何通过各种方式展示网络数据包,并讨论了它在网络安全和故障排查中的应用。
Wireshark解析自定义协议
02-20
利用Wireshark解析自定义协议,以portal协议为实例,并利用LUA脚本进行解释。
wireshark应用lua解析自定义协议
游青的博客
02-11 2576
wireshark应用lua解析自定义协议
Wireshark的简单使用(关于抓协议
小个子奥特曼的博客
09-04 2247
公司在运维中,发现客户的PC端的客户端总是莫名其妙出现问题,而有些问题服务端并没有相关报错日志,于是我们把排查范围就放到客户端上,是否客户端在交互协议的时候导致一些问题呢?比如客户端上的该显示的数据没有了,相关配置文件都没有问题等类型问题。        先介绍一下Wireshark工具吧,这是一个我觉得比较入门级的抓协议的工具,简单好用而已还有汉化版,Wireshark是世界上最流行的
wireshark详解系列(一)——wireshark的发展历史介绍
shonencc的博客
11-12 886
网络分析或者说数据包分析,是我作为一个大龄运维人员的生存之道。每次出现疑难故障,总会找到我来处理,我的处理办法就是抓包分析!提到抓包分析,首当其冲当然是WiresharkWireshark我已经使用了10年有余,非常棒的一款软件。网上也有很多人分享wireshark使用教程,这个系列的文章,如果发现有人已经写得特别好的,我就直接转载或引用(会在文中注明);如果没找到好的文章,我就自己做补充
Python在网络数据包分析中的秘密武器:Wireshark数据解读技巧
![Python在网络数据包分析中的秘密武器:Wireshark数据解读技巧]...# 1. 网络数据包分析与Wireshark概述 在现代IT网络管理中,对网络流量进行监控和分析是至关重要的。网络数据包分析,或称为数据包嗅探,是深入了解...
wireshark自定义协议解析插件实现
Crazy177的博客
07-30 2823
如何使用lua实现私有协议wireshark的解析插件编写
Wireshark学习笔记(一)常用功能案例和技巧
Zichel77的博客
06-10 901
Wireshark常用的模块和技巧
WireShark如何抓包,各种协议(HTTP、ARP、ICMP)的过滤或分析,用WireShark实现TCP三次握手和四次挥手
热门推荐
宝藏女孩的成长日记
03-09 2万+
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。常用来检测网络问题、攻击溯源、或者分析底层通信机制。
Wireshark协议相关功能:过滤、启用/禁用、导出和统计查看
u011186532的专栏
12-24 2378
本文将介绍 Wireshark协议相关的操作,涵盖:1)过滤/导出指定协议数据包;2)启用/禁用协议;3)导出协议类型;4)查看协议统计。
5分钟的Wireshark分析
qq_56924160的博客
03-07 1万+
Wireshark最基础用法 捕获过滤器 Host 目标IP:只捕获目标IP Scr host 目标IP:只捕获源IP是目标IP的 Dst host 目标IP:只捕获目标IP是目标IP的 Port 端口:只捕获固定端口 Ether host Mac地址:只捕获目标MAC地址 Port 端口 ||/&& host 目标IP:只捕获目标IP的目标端口/只要有目标IP或目标端口都要捕获 !port 端口:只捕获不是目标端口 Scr port 端口:只捕获源端口是目标端口的 Dst
TCP segment of a reassembled PDU
多学多思
12-15 1896
转自: 今天利用windows查找功能对网络上的一个共享文件夹里的内容 进行查找,发现查找网络文件时流量巨大。好奇用wireshark抓包发现 wireshark Info栏里有很多“TCP segment of a reassembled PDU”提示信息。不解百度了一下发现大家都在询问这个问题网上并没有很好的解答。想到“TCP segment of a reassembled PDU”只
第五章、WireShark抓包及常用协议分析
m0_73780812的博客
05-14 1229
定位:只查看源主机是本机的IP地址。在过滤器输入扫描,就只查看什么,如只查看udp,tcp等等。1、ARP是一个通过网络层地址解析数据链路层的网络传输协议。通过网络地址来定位mac。混杂模式:经过网卡的的数据包全部抓取,包括不是发给本机的数据包,不验证mac地址。普通模式:只接收发给本机的数据包,传递给上层程序,其他的全部丢弃。1、常用协议(4p,2d)这里分混杂模式和普通模式。2、icmp协议数据包。4、http协议分析。
分组嗅探器Wireshark使用和网络协议的层次观察
nxist_gcy的博客
06-11 2238
Wireshark 4.0.4)是一个优秀的网络数据包分析软件,可以捕获(Capture) 和浏览(Display) 网络侦测的内容,还可以定义 Filters 规则,监视所有在网络上被传送的封包,并分析其内容。Wireshark 通常用来检查网络运作的状况,或是用来发现网络程序的 bugs。它可以分析的协议有:RTP、IP、ISAKMP、ICMP、SMB、 SMB-PIPE、VTP、SNMPv3、Ethernet、GRE、EIGRP、DHCP、IPX、X.25、RSVP 等。
玩转网络抓包利器:Wireshark常用协议分析讲解
ztK63LrD的博客
02-22 2991
Wireshark是一个开源的网络协议分析工具,它能够捕获和分析网络数据包,并以用户友好的方式呈现这些数据包的内容。Wireshark 被广泛应用于网络故障排查、安全审计、教育及软件开发等领域。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

村中少年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值