wireShark 的使用 网络抓包
2012-02-24 18:26
330 查看
转自:
http://www.cnblogs.com/maisui1002/archive/2010/05/31/1748356.html
工作后首次接触网络知识,从抓包工具Wireshark开始。
Wireshark是网络包分析工具。主要作用是尝试捕获网络包,并显示包的尽可能详细的情况。Wireshark是开源网络分析软件。
Wireshark在windows、Linux以及Unix上都可以使用。
Wireshark中比较重要的还有过滤器,Filter分Display Filter、Capture Filter。
Display Filter就在一打开Wireshark的页面,在所抓包的上方。如下图:
如果抓出来的包 Protocol有DNS、ARP、TCP、ICMP等,如要筛选出ICMP包,则在Filter输入框中输入:ICMP,然后Apply,则包的列表中就只显示出ICMP包。
Capture Filter是在Capture——Options中。如下图:
Capture Filter在开始抓包之前先设置需要的Protocol包,有很多包时用这个比较方便。 这边还可以点击Capture Filte按钮,查看不同的协议Capture Filte的不同的表示方法。
下面给出几个Display Filter与Capture Filter书写的区别:
Display Filte Capture Filter
ip.addr==192.168.0.1 host 192.168.0.1
!(ip.addr==192.168.0.1)
UDP.port==53 port 53
http tcp port http
IPV4 ether proto 0x0806
Wireshark可以捕捉多种网络接口类型的包。可点击Capture——Interfaces,弹出所有capture interfaces,选择其中需要捕捉的网络接口 start,则开始抓包。
对于捕获的包要进行分析。如:ping baidu.com,ping用的是ICMP协议,所以所抓的包肯定有ICMP Protocol,然后再分析该包的内容(source、destination、TTL(Time to live)、Type、Code);如果是首次ping baidu,那会进行DNS域名解析,则所抓的包肯定有DNS Protocol。这边的TTL需要掌握,每经过一个路由则减去一。
TTL 可参见 http://www.ezloo.com/2007/05/ping_ttl.html
如果抓出来的包是HTTP协议,则要注意是面向连接的,需要分析其中的3次握手(SYN、ACK)、4次挥手(Fin、Ack)。
TCP三次握手/四次挥手 可参见 http://blog.pfan.cn/xman/44384.html
http://www.cnblogs.com/maisui1002/archive/2010/05/31/1748356.html
工作后首次接触网络知识,从抓包工具Wireshark开始。
Wireshark是网络包分析工具。主要作用是尝试捕获网络包,并显示包的尽可能详细的情况。Wireshark是开源网络分析软件。
Wireshark在windows、Linux以及Unix上都可以使用。
Wireshark中比较重要的还有过滤器,Filter分Display Filter、Capture Filter。
Display Filter就在一打开Wireshark的页面,在所抓包的上方。如下图:
如果抓出来的包 Protocol有DNS、ARP、TCP、ICMP等,如要筛选出ICMP包,则在Filter输入框中输入:ICMP,然后Apply,则包的列表中就只显示出ICMP包。
Capture Filter是在Capture——Options中。如下图:
Capture Filter在开始抓包之前先设置需要的Protocol包,有很多包时用这个比较方便。 这边还可以点击Capture Filte按钮,查看不同的协议Capture Filte的不同的表示方法。
下面给出几个Display Filter与Capture Filter书写的区别:
Display Filte Capture Filter
ip.addr==192.168.0.1 host 192.168.0.1
!(ip.addr==192.168.0.1)
UDP.port==53 port 53
http tcp port http
IPV4 ether proto 0x0806
Wireshark可以捕捉多种网络接口类型的包。可点击Capture——Interfaces,弹出所有capture interfaces,选择其中需要捕捉的网络接口 start,则开始抓包。
对于捕获的包要进行分析。如:ping baidu.com,ping用的是ICMP协议,所以所抓的包肯定有ICMP Protocol,然后再分析该包的内容(source、destination、TTL(Time to live)、Type、Code);如果是首次ping baidu,那会进行DNS域名解析,则所抓的包肯定有DNS Protocol。这边的TTL需要掌握,每经过一个路由则减去一。
TTL 可参见 http://www.ezloo.com/2007/05/ping_ttl.html
如果抓出来的包是HTTP协议,则要注意是面向连接的,需要分析其中的3次握手(SYN、ACK)、4次挥手(Fin、Ack)。
TCP三次握手/四次挥手 可参见 http://blog.pfan.cn/xman/44384.html
相关文章推荐
- 使用WireShark抓包分析Android网络请求时间(二)
- ubuntu下网络抓包工具wireshark的使用
- 使用WireShark抓包分析Android网络请求时间(一)
- Ubuntu下使用wireshark进行网络抓包
- Java网络爬虫(十二)--使用tcpdump和Wireshark进行网络抓包与分析
- [网络基础知识]网络抓包工具Wireshark简单使用——捕捉过滤器、显示过滤器
- 网络协议分析之wireshark---抓包使用
- 使用wireshark进行网络抓包 报错
- Linux下Wireshark的网络抓包使用方法
- ubuntu 下 Wireshark网络抓包工具使用
- 使用tcpdump和wireshark进行网络抓包与分析
- wireShark 的使用 网络抓包
- Mac OS X上使用Wireshark抓包 (抓取手机网络)
- 计算机网络系列:在虚拟机上使用wireshark进行抓包
- 使用tcpdump和wireshark对android手机进行网络抓包分析
- 网络抓包工具wireshark使用技术
- 网络抓包_Mac 下使用wireshark解决Interface为空的办法 Refresh Interface
- Mac OS X上使用Wireshark抓包 (抓取手机网络)
- Linux下Wireshark的网络抓包使用方法
- Wireshark 网络抓包工具Wireshark的使用