数据包内容解析 wireshark数据包分析实战pdf

文章插图

前言
用了一周多的时间看了《Wireshark数据包分析实战详解》这本书的第一篇，这前九章的内容主要是讲解wireshark的使用方法和技巧，以及capinfos、dumpcap、editcap和tshark等命令行工具的使用技巧。另外我也参考了网络上的一些文章，对本阶段学习做一个小总结，方便以后复习。
Wireshark图形化工具
在过去，网络封包分析软件是非常昂贵的，或是专门属于盈利用的软件。Wireshark的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Wireshark是目前全世界最广泛的网络封包分析软件之一。
wireshark视图
定制Profile
可定制profile配置文件，右键profile ，进行管理。
基础使用不在赘述。
延时检测
新增列，将TCP中的Timestamps中的Time since previous 。。。应用为新的列。
捕获过滤
捕捉过滤器语法
语法：<Protocol> <Direction> <Host(s)> < Value> < Logical Operations> <Other expression>
Protocol（协议）: ether ， fddi ， ip ， arp ， rarp ， decnet ， lat ， sca ， moprc ， mopdl ， tcp ， udp 等，如果没指明协议类型，则默认为捕捉所有支持的协议。
Direction（方向）:src ， dst ， src and dst ， src or dst等，如果没指明方向，则默认使用 “src or dst” 作为关键字。
Host(s): net, port, host, portrange等，默认使用”host”关键字， ”src 10.1.1.1″与”src host 10.1.1.1″等价。
Logical Operations（逻辑运算）:not, and, or 等，否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至右进行。
常见使用的捕获过滤语句
只（不）捕获某主机的HTTP流量
host 192.168.5.231 and port 80 and http
#只捕获主机192.168.5.231 的http流量。注意如果你的HTTP端口为8080 ，把80 改为8080 。
port 80 and http
#捕获所有经过该接口的http流量。注意如果你的HTTP端口为8080 ，把80 改为8080 。
host 192.168.5.231 and not port 80
#捕获主机192.168.5.231除 http 之外的其他所有流量，注意如果你的HTTP端口为8080 ，把80 改为8080 。
not port 80
#捕获除 http 之外的其他所有流量，注意如果你的HTTP端口为8080 ，把80 改为8080 。
not port 80 and !http
#捕获除 http 之外的其他所有流量，注意如果你的HTTP端口为8080 ，把80 改为8080 。
只捕获某主机的所有流量
host 192.168.5.231
#捕获源目主机均为192.168.5.231
dst 192.168.5.231
#捕获目的主机均为192.168.5.231
src 192.168.5.231
#捕获来源主机均为192.168.5.231
net 192.168.5.0/24
#捕获网段为d192.168.5的所有主机的所有流量
只捕获某主机的DNS流量
host 192.168.5.231 and port 53
#只捕获主机192.168.5.231 的dns流量。
src 192.168.5.231 and port 53
#只捕获主机192.168.5.231 对外的dns 的流量。
dst 192.168.5.231 and port 53
#只捕获dns服务器相应主机192.168.5.231的dns流量。
port 53
#捕获接口中的所有主机的dns流量

以上关于本文的内容，仅作参考！温馨提示：如遇健康、疾病相关的问题，请您及时就医或请专业人士给予相关指导!

「四川龙网」www.sichuanlong.com小编还为您精选了以下内容，希望对您有所帮助：