本文最后更新于20 天前,其中的信息可能已经过时,如有错误请发送邮件到big_fw@foxmail.com
1.基本操作
2.分层详情
- 第一层:Frame(帧):数据包整体信息(时间、长度)
- 第二层:Internet Protocol(IP协议):查看源IP、目标IP,确认数据传输双方
- 第三层:Transmission Control Protocol(TCP协议):查看端口、连接状态,确认传输通道是否正常
- 第四层:Hypertext Transfer Protocol(HTTP协议):核心重点,查看真实请求内容、请求方式、响应状态码
3.显示过滤
3.1什么是显示过滤
显示过滤器用于在已捕获的数据包中筛选出符合条件的数据包进行显示,不会影响已捕获的数据。显示过滤器使用Wireshark自己的过滤语法。
# 过滤特定主机的流量
ip.addr == 192.168.1.1
# 过滤特定网段的流量
ip.addr >= 192.168.1.0 and ip.addr <= 192.168.1.255
# 过滤特定端口的流量
tcp.port == 80
udp.port == 53
# 过滤特定协议的流量
http
dns
icmp
# 组合过滤条件
ip.addr == 192.168.1.1 and tcp.port == 80
tcp.port == 80 or tcp.port == 443
not arp
# 过滤特定源或目标的流量
ip.src == 192.168.1.1
ip.dst == 192.168.1.1
tcp.srcport == 80
tcp.dstport == 80
# 过滤特定长度的数据包
frame.len > 100
# 过滤包含特定字符串的数据包
http.request.uri contains "login"
# 过滤特定HTTP方法的请求
http.request.method == "GET"
http.request.method == "POST"3.2案例1
过滤ip地址是101.201.225.248
#表达式为
ip.addr == 101.201.225.248
&& 逻辑与(同时满足连个条件)
#http协议过滤,表达式为
ip.addr == 101.201.225.248 && hhtp
#端口过滤,表达式为
ip.addr == 101.201.225.248 && tcp.port == 443
3.3根据内容过滤
4.捕获过滤
4.1什么是捕获过滤
捕获过滤器用于在数据包被Wireshark捕获之前进行过滤,减少捕获的数据量,提高捕获效率。捕获过滤器使用BPF(Berkeley Packet Filter)语法。
# 过滤特定主机的流量
host 192.168.1.1
# 过滤特定网段的流量
net 192.168.1.0/24
# 过滤特定端口的流量
port 80
# 过滤特定协议的流量
tcp
udp
icmp
# 组合过滤条件
host 192.168.1.1 and port 80
tcp port 80 or tcp port 443
not arp
# 过滤特定源或目标的流量
src host 192.168.1.1
dst host 192.168.1.1
src port 80
dst port 80
5,抓包三次握手四次挥手
