Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
一、安装wireshark
打开终端,输入安装命令,在下载完成后需要选择yes回车同意协议,然后就会开始安装,安装过程很快。
sudoapt-getinstallwireshark
二、启动wireshark
输入命令回车,一定要加上sudo,才有管理员权限。
sudowireshark
启动后界面如下,可以看到是使用Qt开发的界面,顶端从上至下是标题栏、菜单栏、工具栏和过滤栏。下面是选择接口作为过滤器,左侧是所有接口名称,右侧是接口数据量大小。
比如我需要从以太网口和其他主机进行网络通信,所以选择enpls0,然后点击左上角鲨鱼鳍的图标,开始抓包。
三、使用wireshark
1、下面是抓包一段时间后的结果,可以看到有很多UDP、ARP、ICMP协议的网络报文。
2、我们看到在数据列表中不断地显示从以太网口抓取到的报文,列表属性分别为:
| 编号| 时间戳 |源地址|目的地址|协议|长度|信息|
3、在数据列表区下面是数据详情区。在数据包列表中选择任一数据包,在数据详情区中会显示数据包的所有详细信息。数据详情区是最重要的,用来查看协议中的每一个字段。各行信息分别为:
Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
User Datagram Protocol: 传输层的数据段头部信息,此处是UDP
Data: 报文的数据位,展开可以看到内容
4、紧接着是数据字节区,数据字节区左侧是1个字节1个字节地显示,每个字节用2个16进制数表示。右侧是16进制对应的10进制数字对应的ASCLL字符。右下角是数据统计区,表示捕获到n个分组,显示x个分组,丢弃n-x个分组。
5、数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏的视图——>着色规则。
6、过滤规则可以说是wireshark的精髓,必须得掌握。在数据报文很多的时候,或者多机通信的时候,你需要用过滤规则保留下你需要的报文。
比较操作符
比较操作符有==等于、!=不等于、>大于、< 小于、>=大于等于、<=小于等于。
协议类型
直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。
tcp,只显示TCP协议的数据包列表
udp,只显示UDP协议的数据包列表
http,只查看HTTP协议的数据包列表
ip地址
ip.src ==192.168.1.10,显示主机ip地址为192.168.1.10发送的报文列表
ip.dst==192.168.1.10,显示主机ip地址为192.168.1.10的接收的报文列表
ip.addr == 192.168.1.10,显示源ip地址或目标ip地址为192.168.1.10的报文列表
端口号
udp.port == 9900, 显示源主机或者目的主机端口为9900的报文列表。
udp.srcport == 9900, 只显示UDP协议的源主机端口为9900的报文列表。
udp.dstport == 9900,只显示UDP协议的目的主机端口为9900的报文列表。
组合条件
使用多个条件进行过滤时,使用and/or/not。
获取源ip地址为192.168.1.10的udp报文:ip.src == 192.168.1.10 and udp
获取目的ip地址为192.168.1.10且port为9900的udp报文:ip.src == 192.168.1.10 and udp.port == 9900
获取目的ip地址不是192.168.1.10的且port不是9900的udp报文:ip.src != 192.168.1.10 and udp.port != 9900
报文内容
如果要以报文的数据位作为筛选条件,可以在数据详情区选择Data,然后右击——>作为过滤器——>选中即可。
所有工程都离不开网络通信。
审核编辑:刘清
-
以太网
+关注
关注
40文章
5419浏览量
171620 -
UDP
+关注
关注
0文章
325浏览量
33933 -
网络通信
+关注
关注
4文章
797浏览量
29797 -
过滤器
+关注
关注
1文章
428浏览量
19596 -
PCAP
+关注
关注
0文章
12浏览量
12612
原文标题:Ubuntu下如何使用wireshark抓包,保姆级教程
文章出处:【微信号:网络威廉希尔官方网站 干货圈,微信公众号:网络威廉希尔官方网站 干货圈】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
评论