公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-9018)
wireshark抓包应用指导说明书
杭州迪普科技有限公司
wireshark抓包应用指导说明书
拟制
雷振华
日过滤条件
Wireshark能够根据应用的需要设置灵活方便的过滤条件,迅速筛选出符合条件的报文。
Wireshark的Filter过滤能够自动检测语法合法性,如果过滤条件设置正确,则Filter输入框为绿色,如果过滤条件设置错误,则Filter输入框为红色。如图3-7
图3-7
常用过滤条件
功能
说明
源
源
IPip
udp/==80
过滤udp或tcp源端口或目的端口是80的报文
udp/==40004
过滤udp或tcp源端口是40004的报文
udp/==80
过滤udp或tcp目的端口是80的报文
==40004 and ==80
过滤tcp协议源端口是40004且目的端口是80的报文
tcp/udp/http
过滤tcp/udp/http报文
抓tcp syn报文
==0xadcd
过滤ip报文id是0xadcd的报文
表1-3
Wireshark expression
当然,如果你对Filter过滤规则不熟悉或者不知道如何怎么写时,可以使用wireshark的Expression,这里列出了wireshark所支持的所有过滤协议以及过滤方式
图3-8
高级过滤条件
上述的过滤条件都是wireshark内置的,主要是根据已知的包头字段内容过滤。同时wireshark也支持根据报文负载内部过滤。
项目
说明
tcp/udp[offset:n]
从tcp或udp偏移指定字节后,命中指定n个字节的内容
tcp[20:8]
表示从20开始,取8个字节
udp[8:3]
表示从8开始,取3个字节
udp[8:3]==81:60:03
不可以写为udp[8:3]==816003
表1-4
根据负载单字节过滤,如图3-9
图3-9
根据udp负载过滤双字节,如图3-10
图3-10
根据tcp包头后3字节内容,如图3-11
图3-11
Wireshark capture filter
根据抓报文,wireshark默认抓取所选网卡的所有报文,并且保存在内存中。如果忘记停止抓报文,会耗尽系统内存。我们完全可以设置wireshark只抓取满足过滤条件的报文。
图3-12
点击图中的“Options”选择,进入图3-13
图3-13
设置好过滤条件后,点击”Start“,wireshark就只抓取符合过滤条件的报文。
在”Capture Filter“输入框内输入过滤条件。语法正确,输入框背景显示为绿色,语法错误,输入框背景显示为红色。请注意,此处的语法与不相同。
功能
说明
源
源
udp port 69
udp 端口是69的报文
常用过滤条件:
表1-5
命令行抓报文
命令行抓包可以让抓取的报文直接保存在硬盘上,这样既不用担心wireshark抓大流量报文时(例如笔记本抓1Gbps速率的报文)崩溃,又不用担心迅速耗尽系统内存的风险。
选择网卡
使用cmd进入wireshark的安装目录,如图4-1
图4-1
执行 -D列出所有网卡
图4-2
根据wireshark图形界面,选择你需要抓包接口ID
图4-3
命令行过滤条件
-i 1 -s 0 -B 256 filesize:10000 -w f:\ -f “ tcp port 80”
图4-4
项目
说明
-i 1
接口ID值,可使用 -D查看
-s 0
指定抓取报文的长度,0表示抓取报文全部长度
-B 256
size of kernel buffer,即系统内核缓存。默认是2M
Filesizes:10000
每10M一个文件保存
-w f:\
抓取的报文保存在F盘,文件名为
-f “tcp port 80”
抓报文的过滤条件
表1-6
常用过滤条件
2、 -i 1 -s 65535 -B 256 -b filesize:200000 -w F:\pcap1\ -f "udp port 1813"
批量转换报文格式
步骤1、确定wireshark安装目录,如图5-1
图5-1
步骤2、操作方法:【计算机】=>【属性】=>【高级系统设置】=>【高级】=>【环境变量】
在弹出的窗口中确认“用户变量”有没有“path”变量,如果没有则选择“新建”,在弹出的窗口中“变量名”为“path”,对应的变量值则为wiresha
wireshark抓包应用指导说明书 来自淘豆网m.daumloan.com转载请标明出处.