wireshark抓包应用指导说明书.doc

1 / 9
迪普科技XX
wireshark抓包应用指导说明书
拟制
雷振华
日期
评审人
日期
签发
日期
修订记录
日期
修订版本
描述
作者

初稿完成
雷振华
udp[8:3]==81:60:03
不可以写为udp[8:3]==816003
表1-4
根据负载单字节过滤,如图3-9
图3-9
根据udp负载过滤双字节,如图3-10
5 / 9
图3-10
根据tcp后3字节容,如图3-11
图3-11
Wireshark capture filter
,wireshark默认抓取所选网卡的所有报文,并且保存在存中。如果忘记停止抓报文,会耗尽系统存。我们完全可以设置wireshark只抓取满足过滤条件的报文。
图3-12
点击图中的"Options"选择,进入图3-13
图3-13
设置好过滤条件后,点击"Start",wireshark就只抓取符合过滤条件的报文。
在"Capture Filter"输入框输入过滤条件。语法正确,输入框背景显示为绿色,语法错误,输入框背景显示为红色。请注意,此处的语法与不相同。
功能
说明

host and tcp port 4444

udp port 69
udp 端口是69的报文
常用过滤条件：
表1-5
命令行抓报文
命令行抓包可以让抓取的报文直接保存在硬盘上,这样既不用担心wireshark抓大流量报文时〔例如笔记本抓1Gbps速率的报文〕崩溃,又不用担心迅速耗尽系统存的风险。
选择网卡
使用cmd进入wireshark的安装目录,如图4-1
图4-1
-D列出所有网卡
图4-2
根据wireshark图形界面,选择你需要抓包接口ID
图4-3
7 / 9
命令行过滤条件
-i 1 -s 0 -B 256 filesize:10000 -w f:\ -f " tcp port 80"
图4-4
项目
说明
-i 1
接口ID值, -D查看
-s 0
指定抓取报文的长度,0表示抓取报文全部长度
-B 256
size of kernel buffer,即系统核缓存。默认是2M
Filesizes:10000
每10M一个文件保存
-w f:\
抓取的报文保存在F盘,
-f "tcp port 80"
抓报文的过滤条件
表1-6
常用过滤条件
-i 4 -s 65535 -b filesize:100000 -w F:\ -f "udp[30:4]==0x30383734"
2、 -i 1 -s 65535 -B 256 -b filesize:200000 -w F:\pcap1\ -f "udp port 18