Wireshark網絡分析工具使用時主要有部分,一是抓包前的設置,二是抓包後的分析
抓包前需要設置抓包過濾器捕獲網絡上的數據包,抓包後需要設置顯示過濾器查找需要的數據包
設置捕捉過濾器
- 選擇Capture -> Options
- 填寫”Capture Filter”欄
設置捕捉過濾器
點擊”capture filter”按鈕爲過濾器取名字並保存,以便今後的捕捉中繼續使用這個過濾器。
- 選擇Capture -> Start或者Ctrl+E開始捕捉。
- 選擇Capture -> Stop或者Ctrl+E結束捕捉
語法例子:
Protocol Direction Host Value Logical Operation Other expression
tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2 3128
Protocol:
可能的值: ether, fddi, ip, rarp, decnet, lat, sca, moprc, mopdl, tcp, udp
如果沒有特別指明是什麼協議,默認使用所有支持的協議
Direction:
可能的值:src, dst, src and dst, src or dst
如果沒有特別指明來源或者目的地,默認使用”src or dst”作爲關鍵字。
例如,”host 10.2.2.2”與”src or dst host 10.2.2.2”是一樣的。
Host:
可能的值:net, port, host, portrange
如果沒有指定次值,默認使用”host”關鍵字。
例如,”src 10.1.1.1”與”src host 10.1.1.1”相同。
Logical Operation:
可能的值:not, and, or
否(not)具有最高優先級。或(or)和與(and)具有相同的優先級,運算時從左至右進行。
例如,
”not tcp port 3128 and tcp port 23”與”(not tcp port 3128) and tcp port 23”相同。
“not tcp port 3218 and tcp port 23”與”not (tcp port 3218 and tcp port 23)”不同。
例子:
tcp dst port 3218
顯示目的TCP端口爲3218的封包。
ip src host 10.1.1.1
顯示來源IP地址爲10.1.1.1的封包。
Host 10.1.2.3
顯示目的或來源IP地址爲10.1.2.3的封包。
src portrange 2000-2500
顯示來源爲UDP或TCP,並且端口號在2000-2500範圍內的封包。
not icmp
顯示除了icmp以外的所有封包。(icmp通常被ping工具使用)
src host 10.7.2.12 and not dst net 10.200.0.0/16
顯示來源IP地址爲10.7.2.12,但目的地址不是10.200.0.0/16的封包。
(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portange 200-10000 and dst net 10.0.0.0/8
顯示來源IP爲10.4.1.12或者來源網絡爲10.6.0.0/16,目的TCP端口號在200-10000之間,
並且目的位於網絡10.0.0.0/8內的所有封包。
注意事項:
當使用關鍵字作爲值時,需要使用反斜槓”\”。
“ether proro \ip” (與關鍵字”ip”相同)
這樣寫將會以IP協議作爲目標。
“ip proto \icmp” (與關鍵字”icmp”相同)
這樣寫將會以ping工具常用的icmp作爲目標。
可以再”ip”或”ether”後面使用”multicast”及”broadcast”關鍵字。
當想拍出廣播請求時,”no broadcast”就非常有用。
顯示過濾器:
通常經過捕捉過濾器過濾後的數據還是很複雜。此時可以使用顯示過濾器進行更加細緻的查找,
它的功能比捕捉過濾器更強大,而且在你想修改過濾器條件時,不需要重新捕捉一次。
語法例子:
Protocol String1 String2 ComparisonOperator Value LogicalOperation Other expression
ftp passive ip == 10.2.3.4 xor icmp.type
Protocol:
可以使用大量位於OSI模型第2至7層的協議。點擊”Expression…”按鈕後,可以看到他們。
比如:IP, TCP, DNS, SSH同樣可以再如下位置找到所支持的協議:
String1,String2(可選項):
協議的子類。
點擊相關父類旁的”+”號,然後選擇其子類。
Coparison operator(比較運算符):
可以使用6中比較運算符:
Logical expression(邏輯運算符):
被程序員們數值的邏輯異或是一種排除性的或。當其被用在過濾器的兩個條件之間時,只有當且僅當其中一個條件滿足時,這樣的結果纔會被顯示出來。
例如:
“tcp.dstport 80 xor tcp.srcport 1025”
只有當目的TCP端口爲80或者來源端口1025(但又不能同時滿足這兩點時),這樣的封包纔會被顯示。
例子:
snmp || dns || icmp
顯示SNMP或DNS或ICMP封包。
ip.addr == 10.1.1.1
顯示來源或目的IP地址爲10.1.1.1的封包。
ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
顯示來源不爲10.1.2.3或者目的不爲10.1.1.1的封包。
ip.src != 10.1.2.3 and ip.dst != 10.4.5.6
顯示來源不爲10.1.2.3並且目的IP不爲10.4.5.6的封包。
tcp.port == 25
顯示來源或目的TCP端口號爲25的封包。
tcp.satport == 25
顯示目的TCP端口號爲25的封包。
tcp.flags顯示包含TCP標誌的封包。
tcp.falgs.syn == 0x02
顯示包含TCP SYN標誌的封包。
如果過濾器的語法是正確的,表達式的背景呈綠色。如果呈紅色,說明表達式有誤。
DM648網絡速度測試抓包過濾器設置:
host 192.168.8.30 or 192.168.8.36
