wireshark使用
wireshark使用
- 复习用
- wireshark抓包
- wireshark抓包之高级应用
复习用
复习所用,如有侵权,联系作者删除
wireshark抓包
抓包流程
初始界面===> 选择对应网卡,双击开始捕获,进行抓取网络包===> 抓包开始进入抓包界面===> 进行抓包操作===> 操作完成后,结束抓包。=> 为了筛选有用信息,我们需要在过滤栏进行过滤=> 抓包完成
具体细节在后面
wireshark初始界面介绍
1:菜单栏----wireshark菜单栏
2: 工具栏—从左往右分别是:开始抓包-停止抓包-重新抓包-捕获选项-打开抓包文件-保存捕获文件-关闭捕获文件-重载捕获文件-查找-上一个分组-下一个分组-跳转到特定分组-回到第一个分组-最后一个分组-最新分组- 着色分组(区别特有的分组)-放大窗口-缩小窗口-还原窗口-调整间距
3:过滤栏—可以筛选数据
4:历史文件包栏—打开之前的数据包
5:过滤栏
6:本地连接—通过电脑开热点,手机或者iPad连接热点进行抓包操作
7:WLAN—通过电脑浏览抓包
8:VM —是在虚拟机中使用时使用
9:状态栏
6,7,8都是网卡,选择需要的网卡进行抓包
wireshark抓包界面介绍
1.数据列表区--------展现捕获到的数据,每个数据包含有编号,时间戳,原地址,目的地址,长度,协议以及数据包的信息
2.数据详细区
1)包括了四个部分
Frame:物理层,数据帧的情况。Frame详细信息对应意思如下:
Ethernet II: 数据链路层,以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层,数据段的头部信息,这里是TCP
Hypertext Transfer Protocol: 应用层,这里是HTTP协议
3.数据字节区-------16进制的数据
4.数据统计区—展现出数据占多少
wireshark过滤器表达式的规则
1.常用过滤条件
frame contains"查找名称" 全文查找
Dns
http
ssl
2.过滤表达式的规则
协议过滤
比如TCP,只显示TCP协议。
IP 过滤
比如 ip.src 192.168.1.102 显示源地址为192.168.1.102,
ip.dst192.168.1.102, 目标地址为192.168.1.102
端口过滤
tcp.port 80, 端口为80的
tcp.srcport == 80, 只显示TCP协议的愿端口为80的。
Http模式过滤
http.request.method"GET", 只显示HTTP GET方法的。
逻辑运算符为 AND/ OR
wireshark抓包之高级应用
专家分析
专家分析是干什么的?它可以帮你统计当前所抓包中丢包、错包等等的出现概率
操作步骤:分析===>专家信息
这是我抓取腾讯新闻的一个使用情况的信息,里面清楚看到抓包里面出现的错误等各种信息的统计
其中关键字如下:
error ===> 出错包
warning ===> 警告包
note ===> 注意包
chat ===> 正常会话包
在Error中我们可以看见两个错误
TLS: TLSCiphertext length MUST NOT exceed 2^14 + 2048
意思是说TLS密文的长度不能超过 2^14 +2048
TCP: New fragment overlaps old data (retransmission?)
意思是tcp里面的报文出现了重复传输。
在Warningz中出现了9个类型的警告
需要查询质料来判断
在Note中可以看出9个需要注意的注意包
retransmission(TCP重传):是数据包丢失的结果,发生在收到重传的ACK,或者数据包的重传计时器超时的时候。