江苏龙网

  1. 主页 > 生活百科 > >

wireshark网络抓包详解( 二 )

Wireshark


文章插图
 
2)显示过滤器

显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包 。通常是在抓取数据包时设置条件相对宽泛或者没有设置导致抓取的数据包内容较多时使用显示过滤器设置条件过滤以方便分析 。

wireshark网络抓包详解

文章插图
 
然后可以通过设置显示器过滤条件进行提取分析信息 。ip.addr == 183.232.231.174 and icmp 。并进行过滤 。
wireshark网络抓包详解

文章插图
 
3.4、以上两者间的语法以及它们的区别
1、wireshark过滤器表达式的规则
1)抓包过滤器语法和实例
抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&& 与、|| 或、!非)
2)协议过滤
比较简单,直接在抓包过滤框中直接输入协议名即可 。
tcp,只显示TCP协议的数据包列表http,只查看HTTP协议的数据包列表icmp,只显示ICMP协议的数据包列表3)IP过滤
host 192.168.182.104src host 192.168.182.104dst host 192.168.182.1044)端口过滤
port 80src port 80dst port 805)逻辑运算符&& 与、|| 或、!非
src host 192.168.182.104 && dst port 80 抓取主机地址为192.168.182.80、目的端口为80的数据包
host 192.168.182.104 || host 192.168.182.102 抓取主机为192.168.182.104或者192.168.182.102的数据包
!broadcast 不抓取广播数据包
2、显示过滤器语法和实例
1)比较操作符
比较操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于 。
2)协议过滤
比较简单,直接在Filter框中直接输入协议名即可 。注意:协议名称需要输入小写 。
tcp,只显示TCP协议的数据包列表http,只查看HTTP协议的数据包列表icmp,只显示ICMP协议的数据包列表3)ip过滤
ip.src =https://www.isolves.com/it/wl/js/2022-06-06/=192.168.182.104 显示源地址为192.168.182.104的数据包列表ip.dst==192.168.182.104, 显示目标地址为192.168.182.104的数据包列表ip.addr == 192.168.182.104 显示源IP地址或目标IP地址为192.168.182.104的数据包列表4)端口过滤
tcp.port ==80,显示源主机或者目的主机端口为80的数据包列表 。tcp.srcport == 80,只显示TCP协议的源主机端口为80的数据包列表 。tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表 。4)Http模式过滤
http.request.method=="GET",只显示HTTP GET方法的 。5)逻辑运算符为 and/or/not
过滤多个条件组合时,使用and/or 。比如获取IP地址为183.232.231.174的ICMP数据包表达式为ip.addr == 183.232.231.174 and icmp
四、Wireshark抓包分析TCP三次握手
wireshark网络抓包详解

文章插图
 
1)TCP三次握手连接建立过程:
  • Step1:客户端发送一个SYN=1,ACK=0标志的数据包给服务端,请求进行连接,这是第一次握手;
  • Step2:服务端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据包给发送端,告诉它,可以通讯了,并且让客户端发送一个确认数据包,这是第二次握手;
  • Step3:服务端发送一个SYN=0,ACK=1的数据包给客户端端,告诉它连接已被确认,这就是第三次握手 。TCP连接建立,开始通讯 。
2)wireshark抓包获取访问指定服务端数据包
  • Step1:启动wireshark抓包,打开浏览器输入www.huawei.com 。
  • Step2:使用ping www.huawei.com获取IP 。

wireshark网络抓包详解

文章插图
 
  • Step3:输入过滤条件获取待分析数据包列表ip.addr == 120.240.100.48 and tcp,这里只抓取tcp的包,要不然其它信息有点多不好看 。

wireshark网络抓包详解

文章插图
 
图中可以看到wireshark截获到了三次握手的三个数据包 。但是从上图看不止一个三次握手;其实还有一个重要的信息,如果眼尖的同学,会发现后面还有两次TLS的握手,没错,因为是通过https去发请求的,三次握手后就是TLS的握手了 。虽然上面是通过http访问,但是会跳到https,流程图大致如下:


推荐阅读


上一篇:分布式文件系统FastDFS 技术整理

下一篇:Excel目录完美的制作方法,新增表格自动更新,还不限制版本