wireshark简介
官网:https://www.wireshark.org/
1,安装:
Installingfromrpm’sunderRedHatandalike:
UsethefollowingcommandtoinstalltheWiresharkRPMthatyouhavedownloadedfromtheWiresharkwebsite:
rpm-ivhwireshark-2.0.5.i386.rpm
Iftheabovestepfailsbecauseofmissingdependencies,installthedependenciesfirst,andthenretrythestepabove.
Installingfromdeb’sunderDebian,Ubuntu
$sudoapt-getinstallwireshark
安装成功后,执行wiresharp命令即可启动.
wireshark只能查看封包,而不能修改封包的内容,或者发送封包。
wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS还是用Fiddler,其他协议比如TCP,UDP就用wireshark.
wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。
RTT(Round-TripTime):往返时延。在计算机网络中它是一个重要的性能指标,表示从发送端发送数据开始,到发送端收到来自接收端的确认。
-->TheRTTtoACKthesegmentwas:0.195293000seconds
ireShark主要分为这几个界面
1.DisplayFilter(显示过滤器),用于过滤
2.PacketListPane(封包列表),显示捕获到的封包,有源地址和目标地址,端口号。颜色不同,代表
3.PacketDetailsPane(封包详细信息),显示封包中的字段
4.DissectorPane(16进制数据)
5.Miscellanous(地址栏,杂项)
过滤器有两种,
一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录
一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。在Capture->CaptureFilters中设置
过滤表达式的规则
表达式规则
1.协议过滤
比如TCP,只显示TCP协议。
2.IP过滤
比如ip.src==192.168.1.102显示源地址为192.168.1.102,
ip.dst==192.168.1.102,目标地址为192.168.1.102
3.端口过滤
tcp.port==80,端口为80的
tcp.srcport==80,只显示TCP协议的愿端口为80的。
4.Http模式过滤
http.request.method=="GET",只显示HTTPGET方法的。
5.逻辑运算符为AND/OR
http只查看HTTP协议的记录
ip.src==192.168.1.102orip.dst==192.168.1.102源地址或者目标地址是192.168.1.102
封包详细信息(PacketDetailsPane)
这个面板是我们最重要的,用来查看协议中的每一个字段。
各行信息分别为
Frame:物理层的数据帧概况
EthernetII:数据链路层以太网帧头部信息
InternetProtocolVersion4:互联网层IP包头部信息
TransmissionControlProtocol:传输层T的数据段头部信息,此处是TCP
HypertextTransferProtocol:应用层的信息,此处是HTTP协议