WireShark是非常流行的网络封包分析软件,功能十分强大。
可以截取各种网络封包,显示网络封包的详细信息。
WireShark界面简介
启动WireShark的界面如下:
- 选择网卡
wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。
点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。
然后点击"Start"按钮, 开始抓包。
窗口的主要组成部分
- Display Filter(显示过滤器), 用于过滤
- Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。
颜色不同,代表
- Packet Details Pane(封包详细信息), 显示封包中的字段
- Dissector Pane(16进制数据)
- Miscellanous(地址栏,杂项)
抓取包对应的OSI七层模型
抓取的TCP包的具体内容
封包详细信息
封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。
你可以看到不同的协议用了不同的颜色显示。
你也可以修改这些显示颜色的规则, View ->Coloring Rules.
wireshark过滤语法总结
wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤:
- 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如
tcp.port==53
http.request.method=="GET" - 对内容的过滤,既支持深度的字符串匹配过滤如http contains "Server",也支持特定偏移处值的匹配过滤如
tcp[20:3] == 47:45:54
wireshark有两种过滤器:
- 捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中。
- 显示过滤器(DisplayFilters):用于在捕捉结果中进行详细查找。
捕捉过滤器在抓抱前进行设置,决定抓取怎样的数据;显示过滤器用于过滤抓包数据,方便stream的追踪和排查。
捕捉过滤器仅支持协议过滤,显示过滤器既支持协议过滤也支持内容过滤。
两种过滤器它们支持的过滤语法并不一样。
下面来详细学习两种过滤器
- 捕捉过滤器--捕捉前依据协议的相关信息进行过滤设置
- 语法
Protocol Direction Host(s) Value Logical Operations Other expression
- 字段详解
- Protocol(协议):
可能值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果没指明协议类型,则默认为捕捉所有支持的协议。
注:在wireshark的HELP-Manual Pages-Wireshark Filter中查到其支持的协议。 - Direction(方向):
可能值: src, dst, src and dst, src or dst
如果没指明方向,则默认使用 “src or dst” 作为关键字。
”host 10.2.2.2″与”src or dst host 10.2.2.2″等价。 - Host(s):
可能值: net, port, host, portrange.
默认使用”host”关键字,”src 10.1.1.1″与”src host 10.1.1.1″等价。 - Logical Operations(逻辑运算):
可能值:not, and, or.
否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级,运算时从左至右进行。
“not tcp port 3128 and tcp port 23″与”(not tcp port 3128) and tcp port 23″等价。
“not tcp port 3128 and tcp port 23″与”not (tcp port 3128 and tcp port 23)”不等价。
- Protocol(协议):
- 示例
(host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8
表示:捕捉IP为10.4.1.12或者源IP位于网络10.6.0.0/16,目的IP的TCP端口号在200至10000之间,并且目的IP位于网络 10.0.0.0/8内的所有封包。
- 语法
- 显示过滤器--对捕捉到的数据包依据协议或包的内容进行过滤
- 协议过滤
- 语法
Protocol.String1.String2 Comparison operator Value LogicalOperations Otherexpression
string1和string2是可选的。
依据协议过滤时,可直接通过协议来进行过滤,也能依据协议的属性值进行过滤。
- 示例
//按协议进行过滤
snmp || dns || icmp //显示SNMP或DNS或ICMP封包。//按协议的属性值进行过滤
ip.addr == 10.1.1.1
ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
ip.src == 10.230.0.0/16 //显示来自10.230网段的封包。
tcp.port == 25 //显示来源或目的TCP端口号为25的封包。
tcp.dstport == 25 //显示目的TCP端口号为25的封包。
http.request.method== "POST" //显示post请求方式的http封包。
http.host == "tracker.1ting.com" //显示请求的域名为tracker.1ting.com的http封包。
tcp.flags.syn == 0×02 //显示包含TCP SYN标志的封包。
- 内容过滤
- 深度字符串匹配
使用contains:Does the protocol, field or slice contain a value
示例//显示payload中包含"http"字符串的tcp封包。
tcp contains "http"
//显示请求的uri包含"online"的http封包。
http.request.uri contains "online" - 特定偏移处值的过滤
//16进制形式,tcp头部一般是20字节,所以这个是对payload的前三个字节进行过滤
tcp[20:3] == 47:45:54
http.host[0:4] == "trac" - 过滤中函数的使用(upper、lower)
upper(string-field) - converts a string field to uppercase
lower(string-field) - converts a string field to lowercase示例
upper(http.request.uri) contains "ONLINE"
- 深度字符串匹配
wireshark过滤支持比较运算符、逻辑运算符,内容过滤时还能使用位运算。
如果过滤器的语法是正确的,表达式的背景呈绿色。
如果呈红色,说明表达式有误。
PS:
今天总结完这篇使用手册后,写了一个捕获过滤器:
tcp src host 10.9.146.113
使用"Compile selected BPFs",但WireShark老是不通过,提示错误
'tcp' modifier applied to host
一直迷惑不解,我是按照语法来写的,怎么编译不通过呢?!
最后各种查呀,才知道“对于tcp/udp协议只能监听端口号,而ip协议只能监听主机地址,tcp/udp位于传输层”!!
这是逼我这看TCP/IP协议呀!在查的过程中又顺带知道了有同类tcpdump工具不能用于windows),而tcpdump工具是基于libpcap。
libpcap是一个网络数据包捕获函数库,很多抓包工具都是基于它来开发的,WireShark也不例外,而在windows上WireShark是基于wincap的。
在“man tcpdump”的时候看到Expression是语法是pcap-filter,这个语法应该就是libcap的语法。
通过上面的总结,于是我决定需要看:《TCP/IP协议》、tcpdump工具、libcap。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)