0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

在Ubuntu下如何使用wireshark抓包?

网络威廉希尔官方网站 干货圈 来源:CSDN 2023-02-22 09:26 次阅读

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

一、安装wireshark

打开终端,输入安装命令,在下载完成后需要选择yes回车同意协议,然后就会开始安装,安装过程很快。

sudoapt-getinstallwireshark

二、启动wireshark

输入命令回车,一定要加上sudo,才有管理员权限。

sudowireshark

启动后界面如下,可以看到是使用Qt开发的界面,顶端从上至下是标题栏、菜单栏、工具栏和过滤栏。下面是选择接口作为过滤器,左侧是所有接口名称,右侧是接口数据量大小。

比如我需要从以太网口和其他主机进行网络通信,所以选择enpls0,然后点击左上角鲨鱼鳍的图标,开始抓包。

72aeb058-b248-11ed-bfe3-dac502259ad0.png

三、使用wireshark

1、下面是抓包一段时间后的结果,可以看到有很多UDP、ARP、ICMP协议的网络报文。

72e97878-b248-11ed-bfe3-dac502259ad0.png

2、我们看到在数据列表中不断地显示从以太网口抓取到的报文,列表属性分别为:

| 编号| 时间戳 |源地址|目的地址|协议|长度|信息|

73d23252-b248-11ed-bfe3-dac502259ad0.png

3、在数据列表区下面是数据详情区。在数据包列表中选择任一数据包,在数据详情区中会显示数据包的所有详细信息。数据详情区是最重要的,用来查看协议中的每一个字段。各行信息分别为:

Frame: 物理层的数据帧概况

Ethernet II: 数据链路层以太网帧头部信息

Internet Protocol Version 4: 互联网层IP包头部信息

User Datagram Protocol: 传输层的数据段头部信息,此处是UDP

Data: 报文的数据位,展开可以看到内容

7403aeea-b248-11ed-bfe3-dac502259ad0.png

4、紧接着是数据字节区,数据字节区左侧是1个字节1个字节地显示,每个字节用2个16进制数表示。右侧是16进制对应的10进制数字对应的ASCLL字符。右下角是数据统计区,表示捕获到n个分组,显示x个分组,丢弃n-x个分组。

7441270c-b248-11ed-bfe3-dac502259ad0.png

5、数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏的视图——>着色规则。

74699fde-b248-11ed-bfe3-dac502259ad0.png

6、过滤规则可以说是wireshark的精髓,必须得掌握。在数据报文很多的时候,或者多机通信的时候,你需要用过滤规则保留下你需要的报文。

比较操作符

比较操作符有==等于、!=不等于、>大于、< 小于、>=大于等于、<=小于等于。

协议类型

直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。

tcp,只显示TCP协议的数据包列表

udp,只显示UDP协议的数据包列表

http,只查看HTTP协议的数据包列表

7495069c-b248-11ed-bfe3-dac502259ad0.png

ip地址

ip.src ==192.168.1.10,显示主机ip地址为192.168.1.10发送的报文列表

ip.dst==192.168.1.10,显示主机ip地址为192.168.1.10的接收的报文列表

ip.addr == 192.168.1.10,显示源ip地址或目标ip地址为192.168.1.10的报文列表

75050578-b248-11ed-bfe3-dac502259ad0.png

端口

udp.port == 9900, 显示源主机或者目的主机端口为9900的报文列表。

udp.srcport == 9900, 只显示UDP协议的源主机端口为9900的报文列表。

udp.dstport == 9900,只显示UDP协议的目的主机端口为9900的报文列表。

752fb64c-b248-11ed-bfe3-dac502259ad0.png

组合条件

使用多个条件进行过滤时,使用and/or/not。

获取源ip地址为192.168.1.10的udp报文:ip.src == 192.168.1.10 and udp

获取目的ip地址为192.168.1.10且port为9900的udp报文:ip.src == 192.168.1.10 and udp.port == 9900

获取目的ip地址不是192.168.1.10的且port不是9900的udp报文:ip.src != 192.168.1.10 and udp.port != 9900

755cde74-b248-11ed-bfe3-dac502259ad0.png

报文内容

如果要以报文的数据位作为筛选条件,可以在数据详情区选择Data,然后右击——>作为过滤器——>选中即可。

75791440-b248-11ed-bfe3-dac502259ad0.png

所有工程都离不开网络通信。





审核编辑:刘清

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 以太网
    +关注

    关注

    40

    文章

    5419

    浏览量

    171620
  • UDP
    UDP
    +关注

    关注

    0

    文章

    325

    浏览量

    33933
  • 网络通信
    +关注

    关注

    4

    文章

    797

    浏览量

    29797
  • 过滤器
    +关注

    关注

    1

    文章

    428

    浏览量

    19596
  • PCAP
    +关注

    关注

    0

    文章

    12

    浏览量

    12612

原文标题:Ubuntu下如何使用wireshark抓包,保姆级教程

文章出处:【微信号:网络威廉希尔官方网站 干货圈,微信公众号:网络威廉希尔官方网站 干货圈】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    Wireshark和Tcpdump实例分析

    wireshark是开源软件,可以放心使用。可以运行在Windows和Mac OS上。对应的,linux包工具是 tcpdump。使用wireshark的人必须了解网络协议,否则
    的头像 发表于 02-01 09:31 3032次阅读

    USB软件分析工具之三:Wireshark-华山派华山剑法

    Wireshark虽然以以太网闻名于江湖,尤其是其分析能力,借助USBPcap其也USB
    的头像 发表于 05-02 21:41 3.4w次阅读
    USB软件<b class='flag-5'>抓</b><b class='flag-5'>包</b>分析工具之三:<b class='flag-5'>Wireshark</b>-华山派华山剑法

    wireshark2——ubuntu系统wireshark普通用户设置

    权限 ) 4、将需要使用的普通用户名加入wireshark用户组,我的用户是“dengyi”(需要根据具体用户名修改!),则需要使用命令: sudo gpasswd -a dengyi wireshark 这样就完成了,以普通用户dengyi登陆打开
    发表于 01-08 10:19

    wireshark数据分析问题

    用网络调试助手作为Tcp Server给STM32F429发送数据,每次传输完21845bytes后,就出现问题。用WireShark的数据有些不太理解。上图为用串口调试助手调试后的信息,每次传输到21846bytes就接收
    发表于 04-08 04:35

    请问wireshark很慢,一两秒才抓到一个,要怎么设置呢?

    wireshark安装在virtual的ubuntu里,WIFI模块发出来的TCP,WIFI模块每15ms会发一个1000Byte的TCP
    发表于 08-06 08:00

    如何使用WireShark进行网络

      如何使用WireShark进行网络:准备工作、wireshark 主界面介绍、封包列表介绍
    发表于 04-02 07:05

    MCU_Wireshark USB的过程是怎样的?

    MCU_Wireshark USB的过程是怎样的?
    发表于 02-11 07:38

    Ubuntu16.04 LTSapt安装WireShark

    的依赖,其中包括一个叫做wireshark-common的dpkg预配置时会弹出对话解释安装选项,大意是dumpcap可以被安装成允许
    发表于 04-02 14:32 402次阅读

    使用wireshark分析TCP及UDP的资料详细说明

    本文档的主要内容详细介绍的是使用wireshark分析TCP及UDP的资料详细说明。
    发表于 05-09 17:36 27次下载
    使用<b class='flag-5'>wireshark</b><b class='flag-5'>抓</b><b class='flag-5'>包</b>分析TCP及UDP的资料详细说明

    Wireshark数据网络协议的分析

    Wireshark 是目前最受欢迎的包工具。它可以运行在 Windows、Linux 及 MAC OS X 操作系统中,并提供了友好的图形界面。同时,Wireshark 提供功能强大的数据
    发表于 10-12 08:00 1次下载
    <b class='flag-5'>Wireshark</b>数据<b class='flag-5'>抓</b><b class='flag-5'>包</b>网络协议的分析

    Wireshark从入门到精通之网络协议分析必备

    Wireshark从入门到精通之网络协议分析必备
    发表于 01-18 13:53 9次下载

    超详细的WireShark使用教程

    Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据,并显示数据详细信息。
    的头像 发表于 06-06 09:22 6438次阅读
    超详细的<b class='flag-5'>WireShark</b><b class='flag-5'>抓</b><b class='flag-5'>包</b>使用教程

    linuxusbwireshark+usbmon

    wireshark:介绍和安装方式请自行搜索;usbmon:即usbmonitor,是linux内置的usb包工具;本质是内核模块,以ubuntu14.04为例,模块的位置:/lib
    的头像 发表于 04-06 15:12 2912次阅读
    linux<b class='flag-5'>下</b>usb<b class='flag-5'>抓</b><b class='flag-5'>包</b>:<b class='flag-5'>wireshark</b>+usbmon

    Wireshark原理及使用教程

    Wireshark使用的环境大致分为两种,一种是电脑直连网络的单机环境,另外一种就是应用比较多的网络环境,即连接交换机的情况。 「单机情况」Wireshark直接抓取本机网卡的网络流量; 「交换机情况」
    的头像 发表于 11-19 15:05 6180次阅读
    <b class='flag-5'>Wireshark</b><b class='flag-5'>抓</b><b class='flag-5'>包</b>原理及使用教程

    一种利用wireshark对远程服务器/路由器网络方法

    一种利用wireshark对远程服务器/路由器网络方法
    的头像 发表于 09-21 08:03 2741次阅读
    一种利用<b class='flag-5'>wireshark</b>对远程服务器/路由器网络<b class='flag-5'>抓</b><b class='flag-5'>包</b>方法