wireshark简介

官网:https://www.wireshark.org/

1,安装:

Installingfromrpm’sunderRedHatandalike:

UsethefollowingcommandtoinstalltheWiresharkRPMthatyouhavedownloadedfromtheWiresharkwebsite:

rpm-ivhwireshark-2.0.5.i386.rpm

Iftheabovestepfailsbecauseofmissingdependencies,installthedependenciesfirst,andthenretrythestepabove.

Installingfromdeb’sunderDebian,Ubuntu

$sudoapt-getinstallwireshark

安装成功后,执行wiresharp命令即可启动.

wireshark只能查看封包,而不能修改封包的内容,或者发送封包。

wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS还是用Fiddler,其他协议比如TCP,UDP就用wireshark.

wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。

RTT(Round-TripTime):往返时延。在计算机网络中它是一个重要的性能指标,表示从发送端发送数据开始,到发送端收到来自接收端的确认。

-->TheRTTtoACKthesegmentwas:0.195293000seconds

ireShark主要分为这几个界面

1.DisplayFilter(显示过滤器),用于过滤

2.PacketListPane(封包列表),显示捕获到的封包,有源地址和目标地址,端口号。颜色不同,代表

3.PacketDetailsPane(封包详细信息),显示封包中的字段

4.DissectorPane(16进制数据)

5.Miscellanous(地址栏,杂项)

过滤器有两种,

一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录

一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。在Capture->CaptureFilters中设置

过滤表达式的规则

表达式规则

1.协议过滤

比如TCP,只显示TCP协议。

2.IP过滤

比如ip.src==192.168.1.102显示源地址为192.168.1.102,

ip.dst==192.168.1.102,目标地址为192.168.1.102

3.端口过滤

tcp.port==80,端口为80的

tcp.srcport==80,只显示TCP协议的愿端口为80的。

4.Http模式过滤

http.request.method=="GET",只显示HTTPGET方法的。

5.逻辑运算符为AND/OR

http只查看HTTP协议的记录

ip.src==192.168.1.102orip.dst==192.168.1.102源地址或者目标地址是192.168.1.102

封包详细信息(PacketDetailsPane)

这个面板是我们最重要的,用来查看协议中的每一个字段。

各行信息分别为

Frame:物理层的数据帧概况

EthernetII:数据链路层以太网帧头部信息

InternetProtocolVersion4:互联网层IP包头部信息

TransmissionControlProtocol:传输层T的数据段头部信息,此处是TCP

HypertextTransferProtocol:应用层的信息,此处是HTTP协议

相关推荐