1、wireshark是一个网络数据封包分析软件,主要是能够截取“来自Intelnet”或者“由本机发给Intelnet”的数据包,然后进行相关的分析,但是只能查看数据包的类别、内容等等,不能做修改等相关的工作。
2、工具的简单应用:
- 首先选择捕获接口
- 一般是连接到Intelnet的网络接口,我一般是选择eth0即可,这样才可以捕获到来自网络或者发给网络的数据包。
- 使用捕获器过滤:
- 设置捕获器,使得工具捕获一定条件的内容,避免了大量的冗余内容的出现。
- 使用显示过滤器过滤:
- 根据相关的语法构造过滤语句,只显示想要得到的内容。
3、重点介绍:
- 选择捕获接口:capture -- interfaces -- 选择接口 -- start ;
- 捕获器过滤:【capture filter】
- 过滤IP语句:
- " ip src host 192.168.1.107 or ip dst host 192.168.1.107 " 或者 "host 192.168.1.107" //不管数据包的目的地址还是源地址,两者只要有一个是192.168.1.107,那么信息都将会被捕获到。
- " ip src host 192.168.1.107 " // 只捕获源地址IP是192.168.1.107的数据包。
- " ip dst host 192.168.1.107 " // 只捕获目的地址IP是192.168.1.107的数据包。
- " src host hostname " 根据主机名字进行过滤,只捕获主机名是hostname的数据包。
- " ether host 80:05:09:03:E4:35 " //根据Mac地址进行过滤,只捕获MAC地址是80:05:09:03:E4:35的数据包。
- " net 192.168.1 " // 过滤整个网段,只要是IP地址在192.168.1.0-192.168.1.255中的数据包,都会被捕获到。
- " src net 192.168 " // 只要是数据包的源地址IP在192.168.0.0 - 192.168.255.255中,便会被捕获。
- 过滤端口:
- " tcp port 23 " // 捕获端口23接受或者23端口发出的TCP协议传输的数据包。
- " tcp src port 23 " // 捕获源地址的23号端口发出的数据包。
- " src portrange 2000-2500 " //捕获源地址端口号在200-2500中,协议为TCP或者udp的数据包。
- 逻辑符号;用来联合捕获语句形成复杂捕获
- and or not
- 过滤IP语句:
- 显示器过滤:
- " ip.src == 192.168.0.120/130 "// 显示源地址IP在192.168.0.120-130之间的数据包的内容
- " ip.addr == 192.168.0.120 " // 显示dst或者src是192.168.0.120的数据包内容
- " ip.dst == 192.168.0.120 " // 显示目的地址是192.168.0.120的数据包的内容。
- " eth.addr == 80:f6:2e:ce:3f:00 " // 显示MAC地址是80:f6:2e:ce:3f:00的数据包的内容。
- " tcp.dstport 80 xor tcp.dstport 125 " //显示协议为TCP且目的地址端口号为80或者125的数据包内容
- " snmp || dns || icmp "// 显示符合协议SNMP、DNS或者ICMP的数据包的内容。
- " tcp.flags " // 显示具有TCP标志的封包。
- " tcp.flags.syn == 0x02 " // 显示包含TCP SYN标志的封包。
