Wireshark抓包分析和過濾策略
**(一)**Wireshark(前稱Ethereal)是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包,並儘可能顯示出最為詳細的網路封包資料。Wireshark使用WinPCAP作為介面,直接與網絡卡進行資料報文交換。我們可以直接進入官方網站http://www.wiresshark.org/download.html 直接下載相應位數的版本。
(二)對於下載安裝後不顯示相關的網路連線問題,主要是缺少WinPcap元件,可以可進入我的百度網盤連結: https://pan.baidu.com/s/1gfpgSQf 密碼: m3pq 或者去百度下載。安裝好後就可以正常使用了。
(三)增加過濾條件
1、IP地址過濾
ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107//意思是指源地址是192.168.1.107或者是目的地址是192.168.1.107全部列出來。簡單方法是:ip.addr eq 192.168.1.107
2、埠過濾
tcp.port eq 80 //不管埠是來源的還是目標的都顯示
tcp.port ==80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport==80 //只顯示tcp協議的目標埠80
tcp.srcport==80 //只顯示tcp協議的來源埠80
3、協議過濾
在過濾器中直接輸入:tcp,udp,arp,icmp;http,smtp,ftp,dns,msnms,ip,ssl 指令,既可以過濾了。
4、MAC地址過濾
在過濾器中輸入:eth.addr eq A0:00:00:04:C5:84
5、Http模式過濾
在過濾器中輸入:http.request.method==”GET”
http.request.method==”POST”