1、wireshark是一個網絡數據封包分析軟件,主要是能夠截取“來自Intelnet”或者“由本機發給Intelnet”的數據包,然後進行相關的分析,但是隻能查看數據包的類別、內容等等,不能做修改等相關的工作。
2、工具的簡單應用:
- 首先選擇捕獲接口
- 一般是連接到Intelnet的網絡接口,我一般是選擇eth0即可,這樣纔可以捕獲到來自網絡或者發給網絡的數據包。
- 使用捕獲器過濾:
- 設置捕獲器,使得工具捕獲一定條件的內容,避免了大量的冗餘內容的出現。
- 使用顯示過濾器過濾:
- 根據相關的語法構造過濾語句,只顯示想要得到的內容。
3、重點介紹:
- 選擇捕獲接口:capture -- interfaces -- 選擇接口 -- start ;
- 捕獲器過濾:【capture filter】
- 過濾IP語句:
- " ip src host 192.168.1.107 or ip dst host 192.168.1.107 " 或者 "host 192.168.1.107" //不管數據包的目的地址還是源地址,兩者只要有一個是192.168.1.107,那麼信息都將會被捕獲到。
- " ip src host 192.168.1.107 " // 只捕獲源地址IP是192.168.1.107的數據包。
- " ip dst host 192.168.1.107 " // 只捕獲目的地址IP是192.168.1.107的數據包。
- " src host hostname " 根據主機名字進行過濾,只捕獲主機名是hostname的數據包。
- " ether host 80:05:09:03:E4:35 " //根據Mac地址進行過濾,只捕獲MAC地址是80:05:09:03:E4:35的數據包。
- " net 192.168.1 " // 過濾整個網段,只要是IP地址在192.168.1.0-192.168.1.255中的數據包,都會被捕獲到。
- " src net 192.168 " // 只要是數據包的源地址IP在192.168.0.0 - 192.168.255.255中,便會被捕獲。
- 過濾端口:
- " tcp port 23 " // 捕獲端口23接受或者23端口發出的TCP協議傳輸的數據包。
- " tcp src port 23 " // 捕獲源地址的23號端口發出的數據包。
- " src portrange 2000-2500 " //捕獲源地址端口號在200-2500中,協議爲TCP或者udp的數據包。
- 邏輯符號;用來聯合捕獲語句形成複雜捕獲
- and or not
- 過濾IP語句:
- 顯示器過濾:
- " ip.src == 192.168.0.120/130 "// 顯示源地址IP在192.168.0.120-130之間的數據包的內容
- " ip.addr == 192.168.0.120 " // 顯示dst或者src是192.168.0.120的數據包內容
- " ip.dst == 192.168.0.120 " // 顯示目的地址是192.168.0.120的數據包的內容。
- " eth.addr == 80:f6:2e:ce:3f:00 " // 顯示MAC地址是80:f6:2e:ce:3f:00的數據包的內容。
- " tcp.dstport 80 xor tcp.dstport 125 " //顯示協議爲TCP且目的地址端口號爲80或者125的數據包內容
- " snmp || dns || icmp "// 顯示符合協議SNMP、DNS或者ICMP的數據包的內容。
- " tcp.flags " // 顯示具有TCP標誌的封包。
- " tcp.flags.syn == 0x02 " // 顯示包含TCP SYN標誌的封包。