Wireshark 图解教程(简介、抓包、过滤器)配½
Wireshark 是世界上最流行的½络分析工具。这个强大的工具可以捕捉½络中的
数据,
并为用户提供关于½络和上层协议的各种信息。
与很多其他½络工具一样,
Wireshark 也½用 pcap network library 来进行封包捕捉。 可破解局域½内 QQ、
邮箱、msn、账号等的密码 !!
Wireshark 是世界上最流行的½络分析工具。这个强大的工具可以捕
捉½络中的数据,并为用户提供关于½络和上层协议的各种信息。与很多其他½络工具一
样,Wireshark 也½用 pcap network library 来进行封包捕捉。可破解局域½内
QQ、邮
箱、msn、账号等的密码!!
wireshark 的原名是 Ethereal,新名字是 2006 年起用的。½时 Ethereal 的主要开发者决
定离开他原来供职的公司,并继续开发这个½件。½由于 Ethereal 这个名称的½用权已
经被原来那个公司注册,Wireshark 这个新名字也就应运而生了。
在成功运行
Wireshark
之后,我们就可以进入下一步,更进一步了解这个强大的工具。
下面是一张地址为 192.168.1.2 的计算机正在访问“openmaniak.com”½站时的截图。
1.
MENUS(菜单)
5.
PACKET DETAILS PANE(封包详细信息)
2.
SHORTCUTS(快捷方式)
3.
DISPLAY FILTER(显示过滤器)
6.
DISSECTOR PANE(16 进制数据)
7.
MISCELLANOUS(杂项)
4.
PACKET LIST PANE(封包列表)
1.
MENUS(菜单)
程序上方的 8 个菜单项用于对 Wireshark 进行配½:
-
-
-
-
-
-
-
"File"(文件)
打开或保存捕获的信息。
"Edit" (编辑)
查找或标记封包。进行全局设½。
"View"(查看)
"Go" (½到)
设½ Wireshark 的视图。
"Capture"(捕获)
跳½到捕获的数据。
"Analyze"(分析)
设½捕捉过滤器并开始捕捉。
"Statistics" (统计) 设½分析选项。
查看 Wireshark 的统计信息。
- "Help" (帮助)
查看本地或者在线支持。
2.
SHORTCUTS(快捷方式)
在菜单下面,是一些常用的快捷按钮。
您可以将鼠标指针移动到某个图标上以获得其功½说明。
3.
DISPLAY FILTER(显示过滤器)
显示过滤器用于查找捕捉记½中的内容。
请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考
Wireshark 过滤器中的详细内
容。
返回页面顶部
4.
PACKET LIST PANE(封包列表)
封包列表中显示所有已经捕获的封包。在这里您可以看到发送或接收方的 MAC/IP 地址,
TCP/UDP 端口号,协议或者封包的内容。
如果捕获的是一个 OSI layer 2 的封包,您在 Source(来源)和 Destination(目的地)
列中看到的将是 MAC 地址,½然,此时 Port(端口)列将会为空。
如果捕获的是一个 OSI layer 3 或者更高层的封包,您在 Source(来源)和 Destination
(目的地)列中看到的将是 IP 地址。Port(端口)列仅会在这个封包属于第 4 或者更高
层时才会显示。
您可以在这里添加/删除列或者改变各列的颜色:
Edit menu -> Preferences
5.
PACKET DETAILS PANE(封包详细信息)
这里显示的是在封包列表中被选中项目的详细信息。
信息按照不同的 OSI layer 进行了分组,您可以展开每个项目查看。下面截图中展开的是
HTTP 信息。
6.
DISSECTOR PANE(16 进制数据)
“解析器”在 Wireshark 中也被叫做“16 进制数据查看面板”。这里显示的内容与“封
包详细信息”中相同,只是改为以 16 进制的格式表述。
在上面的例子里,我们在“封包详细信息”中选择查看 TCP 端口(80),其对应的 16 进
制数据将自动显示在下面的面板中(0050)。
7.
MISCELLANOUS(杂项)
在程序的最下端,您可以获得如下信息:
-
-
-
-
-
-
-
- 正在进行捕捉的½络设备。
捕捉是否已经开始或已经停止。
捕捉结果的保存½½。
已捕捉的数据量。
已捕捉封包的数量。(P)
显示的封包数量。(D) (经过显示过滤器过滤后仍然显示的封包)
被标记的封包数量。(M)
正如您在 Wireshark
教程第一部分看到的一样,安装、运行
Wireshark 并开始分析½络是
非常简单的。
½用 Wireshark 时最常见的问题,是½您½用默认设½时,会得到大量冗½信息,以至于
很难找到自己需要的部分。
过犹不及。
这就是为什么过滤器会如此重要。
它们可以帮助我们在庞杂的结果中迅速找到我们需要的
信息。
- 捕捉过滤器:用于决定将什么样的信息记½在捕捉结果中。需要在开始捕捉前设½。
- 显示过滤器:在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。
那么我应该½用哪一种过滤器呢?
两种过滤器的目的是不同的。
捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的
日志文件。
显示过滤器是一种更为强大(复杂)的过滤器。它允许您在日志文件中迅速准确地找到所
需要的记½。
两种过滤器½用的语法是完全不同的。我们将在接下来的几页中对它们进行介绍:
1.
捕捉过滤器
2.
显示过滤器
1. 捕捉过滤器
捕捉过滤器的语法与其它½用 Lipcap(Linux)或者 Winpcap(Windows)库开发的½件一
样,比如著名的
TCPdump。捕捉过滤器必须在开始捕捉前设½完毕,这一点跟显示过滤器
是不同的。
设½捕捉过滤器的步骤是:
- 选择 capture -> options。
- 填写"capture filter"栏或者点击"capture filter"按钮为您的过滤器起一个名字并保
存,以便在今后的捕捉中继续½用这个过滤器。
- 点击开始(Start)进行捕捉。
京公网安备 11010802033920号
Copyright © 2005-2024 EEWORLD.com.cn, Inc. All rights reserved
评论