作者:張醫博
背景:
此片文章意在介紹 Wireshark 的基本抓包使用,沒有複雜介紹,請各位知曉
功能介紹
wireshark 安裝完後可能有中英文兩種,但是操作區域基本都是一致;
1 Wireshark 讀到本機所有的網絡接口,包含虛擬和物理網絡接口;
2 填寫 Wireshark 的抓包捕獲條件,比如最簡單的域名匹配抓包 host www.taobao.com ,但是如果客戶端啟動了 https 協議傳輸,那麼 http 七層的抓包條件是不啟作用的,數據包已經加密;
3 啟動抓包;
4 停止抓包;
5 重新抓包,之前設置的相關抓包條件保持不便;
如果我們僅是簡單的抓包使用,按照上述的操作即可抓到你想要的數據包;
存儲
抓包停止後,直接通過最簡單的文件,另存為,保存到對應目錄下,格式為 pcap 的文件即可;
過濾數據包
常用表達式
過濾 SYN 包 tcp.flags.syn==1
過濾 RESET 包
過濾 IP ip.addr == 'xxxx'
輔助分析
IO Graf 主要用來分析吞吐,重傳、以及根據標誌位分析數據包,具體可以 Google 使用方法;
專家分析 對各種數據包類型進行彙總統計,展示比較清晰;
