1、电脑安装wireshark后,运行“wireshark.exe”点击“capture”中的“interface”选择端口:。
2、手机连接电脑后,选择连接的端口,前面的方框打钩:。
3、然后,选择上图中的Options:。
4、选择上一步勾选的端口,双击后将方框内前面的方框勾选,里面的数字改为1之后点击OK:。
5、然后在界面下面方框处选择LOG保存位置和名称:。
6、开启自动保存,每100M保存一个LOG:。
7、完成后点击START开始抓取LOG,完成后点击红色按钮结束抓取:。
二、怎么用Wireshark抓包测试1、首先,打开Wireshark软件,如果没有安装的可以去下载一个,很方便,打开后,显示界面如下图:。
2、然后,看到中间位置,有无线网络连接和本地连接,右边有条线,就是网卡流量信息了,如果有波动,说明有数据传输,如果是直线,那么没有数据传输,很直观。。
3、找到需要抓包的网卡,比如这里选择本地连接,双击一下该网卡,马上就跳出来这个网卡上所有的信令消息。左上角有显示是抓的哪个网卡的数据,如果要停止,按停止捕获分组按钮,一个小方块的图案,如下图。
4、除了以上快捷方式外,有些版本的Wireshark是没有在主界面看到网卡信息的,我们可以通过点击菜单栏的捕获,然后下拉菜单中选择选项。。
5、进入到选项界面,也就是需要抓包的网卡选择界面,同样显示网卡信息,也有数据波动条,选择要抓包的网卡。。
6、同样这里选择本地连接,点击开始后,开始对本地连接数据抓包,实时解析信令。。
三、网络抓包Wireshark:[3]窗体详细讲解1、当通过开始→所有程序→Wireshark打开主界面后,默认的启动欢迎窗体如图所示,包含快捷开始抓包的方式。。
2、这里是菜单栏,内容主要有File、Edit、View、Go、Capture、Analyze、Statistics、Telephony、Tool、Internals、Help等菜单。。
3、这里是快捷菜单栏,包括常用的网卡选择、开始、停止捕捉,前进后退,缩放放大、以及首选项设置。。
4、这里是过滤器,可以通过输入过滤规则对已经捕捉到的包进行过滤,只留下需要分析的协议等,方便信息提取。。
5、这里是Wireshark的主logo,包括了详细的版本号等信息。。
6、这里是捕捉界面,可以选择需要的网卡然后点击Start直接进行,下面有CaptureOptions选项,可以选择需要捕捉的内容。。
7、这里可以打开已经捕捉保存的文件,一般是 .pcap格式的也可以点击SampleCapture打开已经保存好的势力文件。。
8、这里是Wireshark的帮助系统,包括了入门导航等内容,可以快速的上手学习Wireshark的使用。。
9、这里是Wireshark的状态栏,显示当前的工作模式等,是否在捕捉过程中。已经捕获了多少数据包,采用的是什么配置协议等等。。
四、Wireshark的使用(抓包、过滤器)1、Wireshark是世界上流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcapnetworklibrary来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码!! wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。在成功运行Wireshark之后,我们就可以进入下一步,更进一步了解这个强大的工具。下面是一张地址为12的计算机正在访问“openmaniak.com”网站时的截图。。
2、MENUS(菜单)。
3、SHORTCUTS(快捷方式)。
4、DISPLAYFILTER(显示过滤器)。
5、PACKETLISTPANE(封包列表)。
6、PACKETDETAILSPANE(封包详细信息)。
7、DISSECTORPANE(16进制数据)。
8、MISCELLANOUS(杂项)。
9、捕捉过滤器捕捉过滤器的语法与其它使用Lipcap(Linux)或者Winpcap(Windows)库开发的软件一样,比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕,这一点跟显示过滤器是不同的。设置捕捉过滤器的步骤是:-选择capture->options。-填写"capturefilter"栏或者点击"capturefilter"按钮为您的过滤器起一个名字并保存,以便在今后的捕捉中继续使用这个过滤器。-点击开始(Start)进行捕捉。。
10、语法:ProtocolDirectionHost(s)ValueLogicalOperationsOtherexpression例子:tcpdst180andtcpdst23128Protocol(协议):可能的值:ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcpandudp.如果没有特别指明是什么协议,则默认使用所有支持的协议。Direction(方向):可能的值:src,dst,srcanddst,srcordst如果没有特别指明来源或目的地,则默认使用"srcordst"作为关键字。例如,"host2"与"srcordsthost2"是一样的。Host(s):可能的值:net,port,host,portrange.如果没有指定此值,则默认使用"host"关键字。例如,"src1"与"srchost1"相同。LogicalOperations(逻辑运算):可能的值:not,and,or.否("not")具有高的优先级。或("or")和与("and")具有相同的优先级,运算时从左至右进行。例如,"nottcpport3128andtcpport23"与"(nottcpport3128)andtcpport23"相同。"nottcpport3128andtcpport23"与"not(tcpport3128andtcpport23)"不同。。
11、例子:tcpdstport3128显示目的TCP端口为3128的封包。ipsrchost1显示来源IP地址为1的封包。host3显示目的或来源IP地址为3的封包。srcportrange2000-2500显示来源为UDP或TCP,并且端口号在2000至2500范围内的封包。notimcp显示除了icmp以外的所有封包。(icmp通常被ping工具使用)srchost12andnotdstnet200.0.0/16显示来源IP地址为但目的地不是200.0.0/16的封包。(srchost12orsrcnet0.0/16)andtcpdstportrange200-10000anddstnet0.0.0/8显示来源IP为12或者来源网络为0.0/目的地TCP端口号在200至10000之间,并且目的位于网络0.0.0/8内的所有封包。。
12、注意事项:当使用关键字作为值时,需使用反斜杠“”。"etherprotoip"(与关键字"ip"相同).这样写将会以IP协议作为目标。"ipprotoicmp"(与关键字"icmp"相同).这样写将会以ping工具常用的icmp作为目标。可以在"ip"或"ether"后面使用"multicast"及"broadcast"关键字。当您想排除广播请求时,"nobroadcast"就会有用。查看TCPdump的主页以获得更详细的捕捉过滤器语法说明。在WikiWiresharkwebsite上可以找到更多捕捉过滤器的例子。。
13、显示过滤器:通常经过捕捉过滤器过滤后的数据还是很复杂。此时您可以使用显示过滤器进行更加细致的查找。它的功能比捕捉过滤器更为强大,而且在您想修改过滤器条件时,并不需要重新捕捉一次。语法:Protocol.StringString2ComparisonoperatorValueLogicalOperationsOtherexpression例子:ftppassiveip==4xoricmp.typeProtocol(协议):您可以使用大量位于OSI模型第2至7层的协议。点击"Expression..."按钮后,您可以看到它们。比如:IP,TCP,DNS,SSH。
14、您同样可以在如下所示位置找到所支持的协议:。
15、Wireshark的网站提供了对各种协议以及它们子类的说明。String1,String2(可选项):协议的子类。点击相关父类旁的"+"号,然后选择其子类。。
16、Comparisonoperators(比较运算符):。
17、例子。
五、wireshark使用教程1、首先安装wireshark,打开开始界面。。
2、常用按钮介绍:列出可用接口。抓包时需要设置的一些选项。一般会保留后一次的设置结果。开始新的一次抓包。暂停抓包。继续进行本次抓包。打开抓包文件。可以打开之前抓包保存后的文件。不仅可以打开wireshark软件保存的文件,也可以打开tcpdump使用-w参数保存的文件。保存文件。把本次抓包或者分析的结果进行保存。关闭打开的文件。文件被关闭后,就会切换到初始界面。重载抓包文件。。
3、wireshark是捕获机器上的某一块网卡的网络数据包,当你的机器上有多块网卡的时候,你需要选择一个网卡。如果有无线和有线网卡,那么选择你在联网使用的那块网卡。点击Caputre->Interfaces..出现下面对话框,选择正确的网卡。然后点击"Start"按钮,开始抓包。
4、Wireshark窗口介绍,显示过滤器、封包列表、封包详细信息,是我们经常要看的。
5、WireShark主要分为这几个界面DisplayFilter(显示过滤器),用于过滤PacketListPane(封包列表),显示捕获到的封包,有源地址和目标地址,端口号。颜色不同,代表PacketDetailsPane(封包详细信息),显示封包中的字段DissectorPane(16进制数据)Miscellanous(地址栏,杂项)。
6、使用过滤是重要的,初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。过滤器有两种,一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。在Capture->CaptureFilters中设置保存过滤在Filter栏上,填好Filter的表达式后,点击Save按钮,取个名字。比如"Filter102",。
7、Filter栏上就多了个"Filter102"的按钮。
8、过滤表达式的规则表达式规则协议过滤比如TCP,只显示TCP协议。IP过滤比如ip.src==1102显示源地址为110ip.dst==1102,目标地址为110端口过滤tcp.port==80,端口为80的tcp.srcport==80,只显示TCP协议的愿端口为80的。Http模式过滤http.request.method=="GET",只显示HTTPGET方法的。逻辑运算符为AND/OR常用的过滤表达式过滤表达式用途http只查看HTTP协议的记录ip.src==1102orip.dst==1102源地址或者目标地址是1102封包列表(PacketListPane)封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。你可以看到不同的协议用了不同的颜色显示。。
9、也可以修改这些显示颜色的规则,View->ColoringRules.。
10、封包详细信息(PacketDetailsPane)这个面板是我们重要的,用来查看协议中的每一个字段。各行信息分别为Frame:物理层的数据帧概况EthernetII:数据链路层以太网帧头部信息InternetProtocolVersion4:互联网层IP包头部信息TransmissionControlProtocol:传输层T的数据段头部信息,此处是TCPHypertextTransferProtocol:应用层的信息,此处是HTTP协议。
11、TCP包的具体内容。
12、下图可以看到wireshark捕获到的TCP包中的每个字段。
13、三次握手过程为。
14、打开wireshark,打开浏览器输入网址。在wireshark中输入http过滤,然后选中GET/tankxiaoHTTP/1的那条记录,右键然后点击"FollowTCPStream",这样做的目的是为了得到与浏览器打开网站相关的数据包,将得到。。
15、第一次握手数据包,客户端发送一个TCP,标志位为SYN,序列号为0,代表客户端请求建立连接。
16、第二次握手的数据包,服务器发回确认包,标志位为SYN,ACK.将确认序号(AcknowledgementNumber)设置为客户的ISN加1以.即0+1=。
17、第三次握手的数据包,客户端再次发送确认包(ACK)SYN标志位为0,ACK标志位为并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+。
18、通过了TCP三次握手,建立了连接。
六、怎样使用Wireshark抓包1、找到电脑上的Wireshark软件,点击启动:。
2、在主页面,可以看如图。先选择“LocalAreaConnection”,再选择Start,进行启动:。
3、可以看到软件已经启动,点击红色按钮可以stop:。
4、如果只想看http的包,在输入框里输入http后,点击apply:。
5、可以看到协议全部都是http了:。
6、如果想要重新检测,查看包的发送情况,点击此按钮可以选择重新启动监测:。
7、可以看到重启后的发包情况:。
8、找到你想要监测的那个包,右键选择“FollowTCPstream”:。
9、可以看到包里面的详细信息:。
七、快速掌握Wireshark抓包工具1、打开wireshark,进入wireshark的主界面。。
2、主界面主要包括7个大的模块,其中主要用到3个模块,那就是过滤规则,数据包详细信息和16进制数据。。
3、点击捕获按钮,在弹出的窗口选择想要抓取的网络接口,然后点击开始,则wireshark就开始抓取该网络接口所有接受和发送的数据包。。
4、在数据包抓取过程中,如果抓取到了想要的数据包则可以点击"停止捕获"按钮,停止抓取数据包;如果没有抓取到想要的数据包,但是当前所抓取的数据包太多不利于后期分析,则可以点击"重新开始捕获"按钮,重新开始抓取数据。。
5、当抓取到了数据后,停止捕获按钮,然后通过过滤规则将所需要的数据包过滤出来。常用的过滤规则:eth.src==mac源mac地址eth.dst==mac目的mac地址eth.addr==macmac地址(不区分源和目的)ip.src==x.x.x.x源ip地址ip.dst==x.x.x.x目的ip地址ip.addr==x.x.x.xip地址(不区分源和目的)tcp/udp.srcport==端口号tcp/udp的源端口号为tcp/udp.dstport==端口号tcp/udp的目的端口号为tcp/udp.port==端口号tcp/udp的端口号为(不区分源和目的)http.request.method==“GET”http请求方法为gethttp.request.method=="POST" http请求昂发为post更详细的过滤规则请百度"wireshark过滤规则",进行相应的查找和学习。。
6、当过滤出对应的数据包后,点击某一条数据可以在数据详细信息中看到该数据的详细信息,包括:网络层的(源mac、目的mac),数据链路层的(源ip、目的ip),传输层(TCP/UDP)以及应用层相关(http、DNS等);然后对该数据包进行分析。。
7、对数据tcp/udp等数据进行分析时,可以通过导航栏中的分析->追踪数据流->tcp流等来过滤出该tcp交互的所有数据包,进行分析。
8、对于抓取到的数据包,如果觉得很有代表性或者当前没有时间进行分析,则将该数据包保存,以供后期再进行详细的分析。。
八、wireshark怎样抓http数据包1、双击选择要抓包的网卡。。
2、打开一个http的网页。。
3、在内容过滤的地方输入http。。
4、可以看到请求和响应http访问的记录。。
5、双击请求数据包,可以看到应用层http信息。。
九、windows10下wireshark怎样抓包1、打开wireshark双击选择一个网卡。。
2、点击图标停止抓包。
3、双击其中的一个数据包,查看具体信息。。
4、可以输入一个过滤信息,过滤只想看的信息。。