Wireshark模块介绍
一.窗口简介
二.过滤器使用
1.捕获过滤器
概念:当进行数据包捕获时,只有那些满足给定的包含/排除表达式的数据包或被捕获。
如何打开捕获过滤器:
(1)打开Wireshark时
(2)使用Wireshark过程中,点击设置按钮,也可打开捕获过滤器界面。
操作实例一:
捕获过滤器中输入表达式 host www.163.com and port 80(80 等效于http)
点击start按钮开始
浏览器访问www.163.com
Wireshark进行抓包,显示如下:
2.显示过滤器
概念:该过滤器根据指定的表达式用于在一个已捕获的数据包集合中,隐藏不想显示的数据包,或者只显示那些需要的数据包。
操作实例一:
捕获过滤器中筛选了满足 host www.163.com and port 80 表达式的数据包。
在显示过滤器中输入表达式 tcp.stream eq 0 筛选出第一个TCP流(包含完整的一次TCP连接:三次握手和四次握手)
三次握手抓包
TCP三次握手
什么是三次握手(Three-way Handshake)
三次握手,是指建立一个TCP连接时,需要客户端和服务器总共发三个包。三次握手的目的是连接服务器指定端口,建立TCP连接,并同步连接双方的序列号和确认号并交换TCP窗口大小信息。
第一次握手:客户端发送syn包(syn=x)的数据包到服务器,并进入SYN_SEND状态,等待服务器确认;
第二次握手:服务器收到syn包,必须确认客户的SYN(ack=x+1),同时自己也发送一个SYN包(syn=y),即SYN+ACK包,此时服务器进入SYN_RECV状态;
第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=y+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。
握手过程中传送的包里不包含数据,三次握手完毕后,客户端与服务器才正式开始传送数据。理想状态下,TCP连接一旦建立,在通信双方中的任何一方主动关闭连接之前,TCP连接都将被一直保持下去。
Wireshark三次握手过程:
(1)第一次握手数据包
客户端发送一个TCP,标志位为SYN(syn=0),序列号为0,代表客户端请求建立连接。
(2)第二次握手数据包
服务器收到SYN包后,确认客户端的SYN,ack=x+1,同时向客户端发送自己的SYN(syn=y)包,即最后会向客户端发送SYN+ACK包。
(3)第三次握手数据包
客户端收到SYN+ACK包后,向服务器发送确认包ACK(ack=y+1)。
三.封包
什么是封包
计算机只能识别二进制的数据,数据也是用二进制的方式存储在计算机中。要想实现多台计算机之间的通信,就要依赖一定的通信协议,如TCP/IP//HTTP等网络协议。为了区分每个协议,数据在传输过程中,会被用到的协议加上指定的格式。也可以理解为对数据的打包发送。例如:快递人员要把你购买的东西送到你家,就要先包装好,然后加上你的个人信息,最后送到你手中,整个过程称为封包。
Wireshark封包
点击Wireshark? 按钮,开始抓包。
1.封包详细信息(Packet Details Pane)
显示封包中的字段
Frame(?。?/b>:物理层的数据帧概况(对应OSI七层模型中的物理层)。Frame 494指的是要发送的数据块,494为所抓帧的序号,捕获字节数等于传送字节数:62 bytes。
Ethernet II(以太网):数据链路层以太网帧头部信息(对应OSI七层模型中的数据链路层)。源Mac地址:2a:31:66:39:90:27; 目标Mac地址:38:f9:d3:84:41:e4
Internet Protocal Version 4(IPV4协议,也称网际协议):互联网层IP包头部信息(对应OSI七层模型中的网络层)。源IP地址:203.119.129.47; 目标IP地址:192.168.43.91
Transmission Control Protocol(TCP协议):传输层的数据段头部信息(对应OSI七层模型中的传输层)。 源端口:443;目标端口:51610;序列号:143; ACP: 是TCP数据包首部中的确认标志,对已接收到的TCP报文进行确认,值为1:确认号有效; 长度为0。
Hypertext Transfer Protocol(HTTP协议):应用层信息(对应OSI七层模型中的应用层)。
[后续补充]
2.每层封包详细含义
物理层的数据帧概况
数据链路层以太网帧头部信息
互联网层IP包头部信息
传输层TCP数据段头部信息
TCP头格式
Wireshark过滤规则
使用过滤器
1.过滤IP
来源IP或者目标IP等于某个IP
ip.src eq 192.168.43.91? (来源)
ip.dst eq 192.168.43.91? (目标)
ip.addr eq 192.168.43.91? (来源、目标同时显示)
2.过滤端口
显示来源端口和目标端口同时满足条件
tcp.port eq 80
tcp.port == 80
tcp.port eq 80 or udp.port eq 80
显示目标端口满足条件
tcp.dstport == 80
显示来源端口满足条件
tcp.srcport == 80
过滤端口范围
tcp.port >=1 and tcp.port <= 80
协议过滤
比如TCP,只显示TCP协议。
IP 过滤
比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,
ip.dst==192.168.1.102, 目标地址为192.168.1.102
端口过滤
tcp.port ==80,? 端口为80的
tcp.srcport == 80,? 只显示TCP协议的愿端口为80的。
Http模式过滤
http.request.method=="GET",?? 只显示HTTP GET方法的。
逻辑运算符为 AND/ OR
。