网络侦探的得力助手：Wireshark的魔法命令_wireshark提取文件的魔法数字怎么弄-优快云博客

本文链接：https://blog.youkuaiyun.com/u011223449/article/details/145380875

一、前言

想象一下，你是一位网络侦探，每天都在错综复杂的数字线索中寻找答案。你面对的是数据包的迷宫，每个数据包都可能是解开谜题的关键。但幸运的是，你有一件神奇的工具——Wireshark，它能让你洞察网络的每一个角落，捕捉那些看不见的信息。

🕵️‍♂ 作为一名经验丰富的网络侦探，你可能已经对Wireshark有了一定的了解。但在这个不断变化的数字世界中，总有新的秘密等待我们去发现，总有新的技能等待我们去掌握。今天，我们就来一起探索Wireshark的魔法命令，这些命令将帮助你解锁网络分析的新境界。

🔍️ 在这篇文章中，我们将分享40个精心挑选的Wireshark命令，它们是网络侦探的得力助手。这些命令不仅能让你更高效地捕获和分析数据包，还能让你在面对复杂的网络问题时，拥有更多的洞察力和控制力。

🏆 此外，我们还将通过3个真实的案例场景，展示如何将这些命令应用到实际问题中。这些场景将带你走进网络侦探的真实世界，让你看到Wireshark如何在关键时刻发挥作用。

🌟 无论你是Wireshark的新手，还是希望提升自己技能的老手，这篇文章都将为你提供宝贵的知识和实用的技巧。让我们一起踏上这段旅程，揭开网络的神秘面纱，发现隐藏在数据包背后的故事。

二、基础命令与操作

启动Wireshark：
捕获数据包：

对于电脑本身有多个网卡的时候，选择网卡就成为了一个困惑的地方，其实这里很简单，只要把鼠标放在对应的网卡上面就可以看到地址等信息，就容易判断出来了

3.停止捕获：点击红色

4. 保存捕获文件：使用File -> Save保存为.pcap或.pcapng格式。

5. 打开捕获文件：使用File -> Open打开已有的捕获文件。

6. 应用过滤器：在捕获窗口上方的过滤器栏输入过滤条件，如ip.src == 192.168.1.1。

7. 清除过滤器：点击过滤器栏右侧的“X”按钮清除当前过滤器。

8. 颜色规则：使用View -> Coloring Rules为不同协议或条件设置不同颜色。

9. 时间戳格式：使用View -> Time Display Format选择时间戳显示格式。

10. 显示/隐藏列：右键点击列标题，选择显示或隐藏特定列。

三、显示过滤器与协议分析

11. IP地址过滤：ip.src == 192.168.1.1或ip.dst == 192.168.1.1过滤源或目的IP地址。

12. 端口过滤：tcp.port == 80或udp.port == 53过滤特定TCP或UDP端口。

13. 协议过滤：http、dns、tftp等直接过滤特定协议的数据包。

14. MAC地址过滤：eth.src == 00:11:22:33:44:55或eth.dst == 00:11:22:33:44:55过滤源或目的MAC地址。

15. 子网过滤：ip.src net 192.168.1.0/24过滤源IP地址属于特定子网的数据包。

16. 逻辑运算：使用and、or、not进行逻辑运算，如ip.src == 192.168.1.1 and tcp.port == 80。

17. 长度过滤：frame.len == <长度>过滤特定长度的数据包。

18. 内容过滤：tcp.payload contains "GET"过滤TCP负载中包含特定字符串的数据包。

19. 自定义列：使用View -> Add/Remove Columns添加或删除自定义列。

20. 协议层次结构：使用Protocol Hierarchy查看数据包的协议层次结构。

四、高级分析与统计

21. 流量图：使用Statistics -> Flow Graph生成流量图，分析数据包流向。

22. 会话统计：使用Statistics -> Conversations查看会话统计信息。

23. 端点统计：使用Statistics -> Endpoints查看网络中的端点信息。

24. 服务响应时间：使用Statistics -> Service Response Time分析服务响应时间。

25. IO图表：使用Statistics -> IO Graph生成IO图表，可视化数据包流量。

26. 专家信息：使用Analyze -> Expert Info查看专家信息，快速定位潜在问题。

27. 数据包注释：右键点击数据包，选择Packet Comment添加注释。

28. 数据包标记：使用Edit -> Mark Packet或快捷键Ctrl+M标记数据包。

29. 数据包列表导出：使用File -> Export Packet Dissections -> As CSV...导出数据包列表为CSV文件。

30. 数据包详情导出：使用File -> Export Packet Details -> As Plain Text...导出数据包详情为纯文本文件。

五、数据恢复与取证

31. 数据恢复：使用File -> Export Objects -> HTTP等选项导出捕获文件中的特定对象。

32. 文件分片重组：使用File -> Export Objects -> Reassemble TCP Streams重组TCP分片文件。

六、高级过滤与解析

33. 复杂过滤表达式：结合使用多个过滤条件，如ip.src == 192.168.1.1 and tcp.port == 80 and http.request.method == GET。

34. 基于时间的过滤：使用frame.time_relative或frame.time字段进行基于时间的过滤，如frame.time_relative >= 0.001。

35. 基于序列号的过滤：使用frame.number字段进行基于数据包序列号的过滤，如frame.number == 10。

36. 基于长度的过滤：使用frame.len或ip.len等字段进行基于数据包或特定协议层长度的过滤。

37. 基于校验和的过滤：检查数据包的校验和是否正确，如ip.checksum_status == 0表示校验和正确。

38. 基于TCP标志的过滤：使用tcp.flags字段过滤特定TCP标志的数据包，如tcp.flags.syn == 1表示SYN包。

39. 基于UDP长度的过滤：使用udp.length字段过滤特定长度的UDP数据包。

40. 基于ICMP类型的过滤：使用icmp.type字段过滤特定类型的ICMP数据包，如icmp.type == 8表示Echo请求。

七、案例情况

案例一：端口映射访问失败

客户在路由器做了端口映射，但是外网访问业务不通，初步检查配置没有问题，开启了wireshark抓包

通过过滤器，ip.adrr==过滤出外网，这样源跟目都能匹配上，然后开始业务访问，发现本机192.168.255.88发给了对端的9998会话，开始建立SYN，但是第二条对方返回过来的是RST,ACK标志，这种情况有几个常见的可能

服务器端由于某种原因，应用进程奔溃了，无法正常建立三次握手，所以在收到SYN的时候直接回应RST、ACK。（这个可以通过在内网访问应用排除掉这个可能）

服务器安全策略原因禁止了，导致无法正常建立三次握手（这个通过排查个人防火墙是否开启，有没有安全策略禁止对应端口号、以及安全软件等）

端口映射没生效，路由器回应的RST与ACK，因为路由器系统大多基于Linux定制开发的，如果映射没生效，相当于本身没有开放这个端口号，那么路由器收到以后会直接回应RST、ACK。

比如这里远程桌面路由器的接口地址，可以看到，它是直接返回RST、ACK来快速断开，从上面的分析来看，很大可能是因为路由器的映射没生效导致的。

问题解决：把端口映射配置删除掉，重新配置了一次，问题解决，映射生效，可以正常的建立三次握手建立TCP连接了，如果实际中重新配置还是没用，还可以在服务器端口开启wireshark的抓包，匹配客户端过来的地址，看是否有收到，如果没收到，正面对方流量没过来，可能是运营商过滤了，或者路由器收到没有转发。（这里运营商过滤应该是不存在，因为有关于对方的RST、ACK回包，表明对方已经收到）

案例二：访问对方业务不通

实际中，可能会遇到这样的情况，Ping对方是通的，但是访问具体的业务却不通，在无法定位的时候，wireshark可以帮忙缩短这些可能性的范围。

（1）对方有回应