一、开始抓包
1.点击捕获选项
2选择需要抓包的网卡(无线网选择WLAN,有线选择对应的本地连接)
二.操作界面
二、抓包过滤器表达式的规则
1.二层筛选
eth.addr==ff:ff:ff:ff:ff:ff 过滤二层
eth.dst==xxxx 过滤 源MAC地址为xxxx
eth.src==xxxx 过滤 目标MAC地址为xxxx
2.三层筛选
ip.addr==x.x.x.x 过滤三层
ip.dst==x.x.x.x 过滤源IP地址为x.x.x.x
ip.src==x.x.x.x 过滤目的IP地址为x.x.x.x
3.端口过滤
tcp.port ==80 显示源主机或者目的主机的端口为80的数据包列表
tcp.srcport==80 只显示TCP协议的源主机端口为80的数据包列表
tcp.dstport==80 只显示TCP协议的目的主机端口为80的数据包列表
4.逻辑运算符 and/or/not
与 && and
或 || or
非 ! not
例:
1.抓取主机地址为192.168.1.80,TCP目的端口为80的数据包
ip.addr==192.168.1.80 && tcp.dstport==80
2.抓取主机为192.168.1.104或者192.168.1.102
ip.addr==192.168.1.104||ip.addr==192.168.1.102
三、数据包详细列表
Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。各行信息分别为
(1)Frame: 物理层的数据帧概况
(2)Ethernet II: 数据链路层以太网帧头部信息
(3)Internet Protocol Version 4: 互联网层IP包头部信息
(4)Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP
(5)Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议
展开(4)传输层数据段的头部信息,可以观察到wireshark捕获的TCP包中的每个字段
其中 在TCP层,有个FLAGS字段,这个字段有以下几个标识:SYN,FIN,ACK,PSH,RST,对于我们日常的分析有用的就是前面的五个字段。它们的含义是:SYN表示建立连接,FIN表示关闭连接,ACK表示响应,PSH表示有DATA数据传输,RST表示连接重置。
