學(xué)習(xí)目錄

一、WireShark界面說明：

1、開始捕捉界面：

2、捕捉結(jié)果界面：

3、著色規(guī)則：

二、捕捉過濾器：

1、捕捉過濾器表達(dá)式：

2、捕捉過濾器語法：

三、顯示過濾器：

1、基本過濾表達(dá)式：

2、復(fù)合過濾表達(dá)示：

3、常見用顯示過濾需求及其對(duì)應(yīng)表達(dá)式：

WireShark安裝，安裝非常簡(jiǎn)單，處理安裝路徑自定義之外，其他都直接點(diǎn)下一步。

一、WireShark界面說明：
1、開始捕捉界面：
點(diǎn)擊菜單的“捕獲-選項(xiàng)”，設(shè)置需要捕獲的網(wǎng)絡(luò)適配器，點(diǎn)擊“開始”。也可以在菜單“捕獲-開始”、“捕獲-結(jié)束”來控制開始結(jié)束。在“捕獲-捕獲過濾器”編輯捕獲表達(dá)式：

在上述“捕獲”菜單中進(jìn)行的操作，也可以在工具欄進(jìn)行，如下圖：

?

2、捕捉結(jié)果界面：
1號(hào)窗口展示的是wireshark捕獲到的所有數(shù)據(jù)包的列表。注意最后一列Info列是wireshark組織的說明列，并不一定是該數(shù)據(jù)包中的原始內(nèi)容。

2號(hào)窗口是1號(hào)窗口中選定的數(shù)據(jù)包的分協(xié)議層展示。底色為紅色的是因?yàn)閣ireshark開啟校驗(yàn)和驗(yàn)證而該層協(xié)議校驗(yàn)和又不正確所致。

3號(hào)窗口是1號(hào)窗口中選定的數(shù)據(jù)包的源數(shù)據(jù)，其中左側(cè)是十六進(jìn)制表示，右側(cè)是ASCII碼表示。另外在2號(hào)窗口中選中某層或某字段，3號(hào)窗口對(duì)應(yīng)位置也會(huì)被高亮。

?

（1）點(diǎn)擊每一行時(shí)，wireshark很智能的在記錄前用標(biāo)線表明了本次會(huì)話的記錄范圍[從三次握手到四次揮手]

?

（2）http請(qǐng)求是“請(qǐng)求->響應(yīng)”式的，需要查看對(duì)應(yīng)請(qǐng)求的響應(yīng)時(shí)，可以在包上右鍵，選擇“追蹤流（Follow TCP Stream）”

?

?

（3）被認(rèn)為最難的其實(shí)還是2號(hào)窗口展開后的內(nèi)容不懂怎么看，以IP層為例：每一行就對(duì)應(yīng)該層協(xié)議的一個(gè)字段；中括號(hào)行是前一字段的說明。冒號(hào)前的英文是協(xié)議字段的名稱；冒號(hào)后是該數(shù)據(jù)包中該協(xié)議字段的值。

數(shù)據(jù)包的大致結(jié)構(gòu)：

第一行：數(shù)據(jù)包整體概述，
第二行：鏈路層詳細(xì)信息，主要的是雙方的mac地址
第三行：網(wǎng)絡(luò)層詳細(xì)信息，主要的是雙方的IP地址
第四行：傳輸層的詳細(xì)信息，主要的是雙方的端口號(hào)。

（4）tcp數(shù)據(jù)包結(jié)構(gòu)及在wireshark中的位置：

?

?

?

3、著色規(guī)則：
在菜單“視圖-著色規(guī)則”下查看：

?

WireShark有兩種過濾器：捕捉過濾器（用于決定將什么樣的信息記錄在捕捉結(jié)果中）和 顯示過濾器（用于在捕捉結(jié)果中進(jìn)行詳細(xì)查找）；兩者的區(qū)別：捕捉過濾器在抓包前進(jìn)行設(shè)置，決定抓取怎樣的數(shù)據(jù)；顯示過濾器用于過濾抓包數(shù)據(jù)，方便stream的追蹤和排查。捕捉過濾器僅支持協(xié)議過濾，顯示過濾器既支持協(xié)議過濾也支持內(nèi)容過濾。兩種過濾器它們支持的過濾語法并不一樣。

二、捕捉過濾器：
1、捕捉過濾器表達(dá)式：
捕捉過濾器表達(dá)式作用是在wireshark開始捕獲數(shù)據(jù)包之前，只捕獲符合條件的數(shù)據(jù)包，不記錄不符合條件的數(shù)據(jù)包。

?

也可以通過下面的步驟進(jìn)入捕捉過濾器進(jìn)行添加或者刪減相應(yīng)的過濾器：

?

2、捕捉過濾器語法：
（1）協(xié)議過濾語法：

示例：?

(host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8
捕捉IP為10.4.1.12或者源IP位于網(wǎng)絡(luò)10.6.0.0/16，目的IP的TCP端口號(hào)在200至10000之間，并且目的IP位于網(wǎng)絡(luò) 10.0.0.0/8內(nèi)的所有封包。

（2）字段詳解：

Protocol（協(xié)議）:
可能值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果沒指明協(xié)議類型，則默認(rèn)為捕捉所有支持的協(xié)議。
注：在wireshark的HELP-Manual Pages-Wireshark Filter中查到其支持的協(xié)議。

Direction（方向）:
可能值: src, dst, src and dst, src or dst
如果沒指明方向，則默認(rèn)使用 “src or dst” 作為關(guān)鍵字。
”host 10.2.2.2″與”src or dst host 10.2.2.2″等價(jià)。

Host(s):
可能值： net, port, host, portrange.
默認(rèn)使用”host”關(guān)鍵字，”src 10.1.1.1″與”src host 10.1.1.1″等價(jià)。

Logical Operations（邏輯運(yùn)算）:
可能值：not, and, or.
否(“not”)具有最高的優(yōu)先級(jí)?；?“or”)和與(“and”)具有相同的優(yōu)先級(jí)，運(yùn)算時(shí)從左至右進(jìn)行。
“not tcp port 3128 and tcp port 23″與”(not tcp port 3128) and tcp port 23″等價(jià)。
“not tcp port 3128 and tcp port 23″與”not (tcp port 3128 and tcp port 23)”不等價(jià)。

三、顯示過濾器：
顯示過濾器作用在wireshark捕獲數(shù)據(jù)包之后，依據(jù)顯示過濾器表達(dá)式，對(duì)捕捉到的數(shù)據(jù)包依據(jù)協(xié)議或包的內(nèi)容進(jìn)行過濾，從已捕獲的所有數(shù)據(jù)包中顯示出符合條件的數(shù)據(jù)包，隱藏不符合條件的數(shù)據(jù)包。

顯示過濾表達(dá)示在工具欄下方的“顯示過濾器”輸入框輸入即可生效

?

1、基本過濾表達(dá)式：
一條基本的表達(dá)式由過濾項(xiàng)、過濾關(guān)系、過濾值三項(xiàng)組成。

比如ip.addr == 192.168.1.1，這條表達(dá)式中ip.addr是過濾項(xiàng)、==是過濾關(guān)系，192.168.1.1是過濾值（整條表達(dá)示的意思是找出所有ip協(xié)議中源或目標(biāo)ip、等于、192.168.1.1的數(shù)據(jù)包）

（1）過濾項(xiàng)：

wireshark的過濾項(xiàng)是“協(xié)議“+”.“+”協(xié)議字段”的模式。以端口為例，端口出現(xiàn)于tcp協(xié)議中所以有端口這個(gè)過濾項(xiàng)且其寫法就是tcp.port。推廣到其他協(xié)議，如eth、ip、udp、http、telnet、ftp、icmp、snmp等等其他協(xié)議都是這么個(gè)書寫思路。

當(dāng)然wireshark出于縮減長度的原因，有些字段沒有使用協(xié)議規(guī)定的名稱而是使用簡(jiǎn)寫（比如Destination Port在wireshark中寫為dstport），又出于簡(jiǎn)便使用增加了一些協(xié)議中沒有的字段（比如TCP協(xié)議只有源端口和目標(biāo)端口字段，為了簡(jiǎn)便使用，wireshark增加了tcp.port字段來同時(shí)代表這兩個(gè)）。

（2）過濾關(guān)系：

過濾關(guān)系就是大于、小于、等于等幾種等式關(guān)系。注意其中有“English”和“C-like”兩個(gè)字段，這個(gè)意思是說“English”和“C-like”這兩種寫法在wireshark中是等價(jià)的、都是可用的。

?

（3）過濾值：

過濾值就是設(shè)定的過濾項(xiàng)應(yīng)該滿足過濾關(guān)系的標(biāo)準(zhǔn)，比如500、5000、50000等等。過濾值的寫法一般已經(jīng)被過濾項(xiàng)和過濾關(guān)系設(shè)定好了，只是填下自己的期望值就可以了。

2、復(fù)合過濾表達(dá)示：
所謂復(fù)合過濾表達(dá)示，就是指由多條基本過濾表達(dá)式組合而成的表達(dá)示。基本過濾表達(dá)式的寫法還是不變的，復(fù)合過濾表達(dá)示多出來的東西就只是基本過濾表達(dá)示的“連接詞”：

?

3、常見用顯示過濾需求及其對(duì)應(yīng)表達(dá)式：
（1）數(shù)據(jù)鏈路層：

篩選mac地址為04:f9:38:ad:13:26的數(shù)據(jù)包----eth.src == 04:f9:38:ad:13:26

篩選源mac地址為04:f9:38:ad:13:26的數(shù)據(jù)包----eth.src == 04:f9:38:ad:13:26

（2）網(wǎng)絡(luò)層：

篩選ip地址為192.168.1.1的數(shù)據(jù)包----ip.addr == 192.168.1.1

篩選192.168.1.0網(wǎng)段的數(shù)據(jù)---- ip contains "192.168.1"

篩選192.168.1.1和192.168.1.2之間的數(shù)據(jù)包----ip.addr == 192.168.1.1 && ip.addr == 192.168.1.2

篩選從192.168.1.1到192.168.1.2的數(shù)據(jù)包----ip.src == 192.168.1.1 && ip.dst == 192.168.1.2

（3）傳輸層：

篩選tcp協(xié)議的數(shù)據(jù)包----tcp

篩選除tcp協(xié)議以外的數(shù)據(jù)包----!tcp

篩選端口為80的數(shù)據(jù)包----tcp.port == 80

篩選12345端口和80端口之間的數(shù)據(jù)包----tcp.port == 12345 && tcp.port == 80

篩選從12345端口到80端口的數(shù)據(jù)包----tcp.srcport == 12345 && tcp.dstport == 80

（4）應(yīng)用層：

特別說明----http中http.request表示請(qǐng)求頭中的第一行（如GET index.jsp HTTP/1.1），http.response表示響應(yīng)頭中的第一行（如HTTP/1.1 200 OK），其他頭部都用http.header_name形式。

篩選url中包含.php的http數(shù)據(jù)包----http.request.uri contains ".php"

篩選內(nèi)容包含username的http數(shù)據(jù)包----http contains "username"

顯示post請(qǐng)求方式的http封包---http.request.method== "POST"

顯示請(qǐng)求的域名為tracker.1ting.com的http封包---http.host == "tracker.1ting.com"

原文鏈接：https://blog.csdn.net/a745233700/article/details/102774703文章來源地址http://www.zghlxwxcb.cn/news/detail-793257.html

到了這里，關(guān)于Wireshark網(wǎng)絡(luò)封包分析工具介紹+過濾器表達(dá)式語法的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！