01.Wireshark入门

Wireshark官网下载地址：

https://www.wireshark.org/#download

伯克利包过滤规则，由三部分组成：

1.type表示对象，如：IP地址，子网，端口

2.dir表示数据包的方向，是从源端口到目标端口，还是从目标端口到源端口

3.proto表示与数据包匹配的协议类型，ip协议？tcp协议？arp协议？

例子：

1.过滤出IP地址为192.168.4.36的数据

表达式：ip.addr==192.168.4.36

2.过滤出源IP地址为192.168.4.36的数据

表达式：ip.src==192.168.4.36

3.过滤出目标地址为192.168.4.36的数据

表达式：ip.dst==192.168.4.36

4.过滤出目的地址为192.168.4.36，TCP协议端口80的数据

表达式：tcp.port==80 and ip.dst==192.168.4.36

※注：在192.168.1.136主机上用游览器URL访问了192.168.4.36主机产生的数据。可以看出，数据是从1.136主机的51511端口→4.36目标主机的80端口。

5.过滤出源地址为192.168.4.36，协议为TCP端口80,的数据

表达式：tcp.port==80 and ip.src==192.168.4.36

※注：可以看出，数据是从4.36主机的80端口→1.136目标主机的51511端口。

6.过滤出网络范围为192.168.4.0/24的数据

表达式：ip.addr==192.168.4.0/24

捕获过滤器

在抓取数据包之前配置的过滤器，抓取符合规则的数据包，丢弃不符合规则的数据包。

例子

1.只捕获目标端口为80的TCP数据包

表达式：tcp dst port 80

2.捕获目标主机IP地址为192.168.4.36的数据包，即1.136主机发送出去的数据包

表达式：dst host 192.168.4.36

※注：在192.168.1.136主机上ping了192.168.4.36主机产生的数据。

3.捕获源主机IP地址为192.168.4.36的数据包，即响应1.136主机的数据包

表达式：src host 192.168.4.36

3.捕获主机IP地址为192.168.4.36的数据包

表达式：src host 192.168.4.36 || dst host 192.168.4.36

筛选过滤器（或称之为显示过滤器）

在抓取到数据包之后进行配置的过滤器。或者是对已经抓取到的流量进行再筛选，找出更加符合需要的数据包。

表达式可以通过两种方式创建：

第一种：通过输入框创建

第二种：通过数据包细节面板创建。

表达式逻辑关系 (与、或、非)

and       or        not

&&        ||       !

捕获输出

    文件格式

通过capture → Options 打开捕获输出选项设置对话框

选择 Output设置输出的文件格式，pcapng 或者 pcap

例一：当监听服务器时，由于数据量非常大，如长时间保存在一个文件中会导致wireshark无法正常打开保存的文件。这种场合就需要通过自动创建时间间隔文件来保存包文件，每隔n秒自动创建一个数据流量文件。

可以看到，保存的包文件间隔基本都是10秒。

例二：周而复始，循环保存。避免磁盘空间消耗殆尽。

Options选项卡

杂项设置

查看Wireshark内置文件路径

Help-About Wireshark-Folders

查看Wireshark插件路径

Help-About Wireshark-Plugins，可以显示出当前所有插件路径。

更换Wireshark显示界面