Wireshark安装及使用
目录
安装
官网下载安装即可 链接
注意: Win10系统还要安装Win10Pcap,否则可能检测不出网卡
使用
主要是抓包过滤器和显示过滤器的使用
抓包过滤器
抓包的时候进行过滤,若网络环境的流量比较大,则可有效减少负载
设置位置:Capture->Options->capture filter
-
过滤MAC地址
ether host 00:88:ca:86:f8:0d //只抓取经过此网卡的数据包 ether src host 00:88:ca:86:f8:0d //只抓取源地址是此网卡的数据包 ether dst host 00:88:ca:86:f8:0d //只抓取目的地址是此网卡的数据包 -
过滤IP地址
host 192.168.1.101 src host 192.168.1.101 dst host 192.168.1.101 -
过滤端口
port 80 !port 80 src port 80 dst port 80 -
过滤协议
arp icmp tcp http -
可链接多条表达式,综合过滤
src host 192.168.1.1 && port 8080 src host 192.168.1.1 || src host 101.21.2.10
显示过滤器
显示的时候进行过滤,适用于流量不是很大的情况下
设置位置:主界面上方
-
过滤IP地址
ip.addr == 129.111.0.0/16 //只抓取与此ip地址相关的数据包(包括出、入) ip.dst eq www.mit.edu //只抓取目的地为www.mit.edu的数据包 ip.src == 192.168.1.1 //只抓取源地址为192.168.1.1的数据包 -
过滤MAC地址
eth.addr == 50:2b:73:fe:00:47 eth.dst == 50:2b:73:fe:00:47 eth.src == 50:2b:73:fe:00:47 -
过滤端口
tcp.port == 80 or tcp.port == 443 || tcp.port == 8080 -
过滤协议
arp icmp tcp http
各类协议具体显示过滤语法参见 https://www.wireshark.org/docs/dfref/
常用功能
- 过滤器
- Analyze->follow
- Statistics