Wiresahrk抓包工具

您可以從Wikipedia [url]http://zh.wikipedia.org/wiki/Ethereal[/url]網站上得到更多關於Wireshark的信息。
Wireshark簡介：

Wireshark是世界上最流行的網絡分析工具。這個強大的工具可以捕捉網絡中的數據，併爲用戶提供關於網絡和上層協議的各種信息。與很多其他網絡工具一樣，Wireshark也使用
pcap network library來進行封包捕捉。可破解局域網內QQ、郵箱、msn、賬號等的密碼！！
wireshark的原名是Ethereal，新名字是2006年起用的。當時Ethereal的主要開發者決定離開他原來供職的公司，並繼續開發這個軟件。但由於Ethereal這個名稱的使用權已經被原
來那個公司註冊，Wireshark這個新名字也就應運而生了。

Wireshark使用說明：

Protocol（協議）:
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果沒有特別指明是什麼協議，則默認使用所有支持的協議。
Direction（方向）:
可能的值: src, dst, src and dst, src or dst
如果沒有特別指明來源或目的地，則默認使用 "src or dst" 作爲關鍵字。
例如，"host 10.2.2.2"與"src or dst host 10.2.2.2"是一樣的。
Host(s):
可能的值： net, port, host, portrange.
如果沒有指定此值，則默認使用"host"關鍵字。
例如，"src 10.1.1.1"與"src host 10.1.1.1"相同。
Logical Operations（邏輯運算）:
可能的值：not, and, or.
否("not")具有最高的優先級。或("or")和與("and")具有相同的優先級，運算時從左至右進行。
例如，
"not tcp port 3128 and tcp port 23"與"(not tcp port 3128) and tcp port 23"相同。
"not tcp port 3128 and tcp port 23"與"not (tcp port 3128 and tcp port 23)"不同。

例子：
capture捉包：
tcp dst port 21 顯示目的TCP端口爲21的封包。

ip src host 192.168.30.242 顯示來源IP地址爲192.168.30.242 的封包。
host 192.168.30.242 顯示目的或來源IP地址爲192.168.30.242 的封包。
src portrange 2000-2500 顯示來源爲UDP或TCP，並且端口號在2000至2500範圍內的封包。
not imcp 顯示除了icmp以外的所有封包。（icmp通常被ping工具使用）
src host 10.7.2.12 and not dst net 192.168.30.0/24 顯示來源IP地址爲10.7.2.12，但目的地不是192.168.30.0/24的封包。
(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8
顯示來源IP爲10.4.1.12或者來源網絡爲10.6.0.0/16，目的地TCP端口號在200至10000之間，並且目的位於網絡10.0.0.0/8內的所有封包。

注意事項：
當使用關鍵字作爲值時，需使用反斜槓“\”。
"ether proto \ip" (與關鍵字"ip"相同).
這樣寫將會以IP協議作爲目標。
"ip proto \icmp" (與關鍵字"icmp"相同).
這樣寫將會以ping工具常用的icmp作爲目標。
可以在"ip"或"ether"後面使用"multicast"及"broadcast"關鍵字。
當您想排除廣播請求時，"no broadcast"就會非常有用。

分析：
ftp\http\ip\udp\tcp\ipx\dns 可以單獨顯示某種協議。

ip.addr == 192.168.30.242 顯示目的或來源IP地址爲192.168.30.242 的封包。
tcp.port eq 25 or icmp 顯示tcp端口爲25或imcp的包
tcp.dstport == 25 顯示目的TCP端口號爲25的封包。
tcp.port == 80 || udp.port == 80 顯示tcp端口爲25或udp端口是80的包
eth.addr == 00-1C-23-27-72-1E 顯示mac地址是 00-1C-23-27-72-1E的包
tcp.flags 顯示包含TCP標誌的封包。
tcp.flags.syn == 0x02 顯示包含TCP SYN標誌的封包。
http.request.uri matches "gl=se$" 匹配url中最後字符是gl=se的封包。

相關鏈接： [url]http://wiki.wireshark.org/DisplayFilters[/url]
[url]http://guojingtao0116.blog.163.com/blog/static/6622619120096124511303/[/url]

以上內容轉自：[url]http://blog.chinaunix.net/u/14353/showart_1983646.html[/url]