IP网络抓包工具简明用户手解析.pptVIP

IP网络抓包工具简明用户手册 基于WireShark工具的使用 李潘迅 2010-04-28 WireShark简介 非混杂模式下抓包 混杂模式下抓包 如何抓取特定的数据包 如何从已抓捕的数据中快速查找特定数据包 WireShark简介 一款开源的非常专业的网络抓包及分析工具！ 官方网站：/ 也可从我们的FTP服务器下载，路径为： /Upload/网络抓包工具 非混杂模式下抓包 非混杂模式指：WireShark只抓取指定网卡上的发出与接收的数据包，与指定网卡无关的数据包将被忽略。 使用方法见下一页 混杂模式下抓包 混杂模式指：WireShark能够抓取主机所在局域网内的全部网络包，即局域网内其他主机之间的通信数据包也能被抓获，我们经常使用此模式。 使用方法见下一页 如何抓取特定的数据包 当用户抓包时，WireShark提供了一个过滤机制，用于过滤 用户不关注的数据包。 用户需设置过滤表达式（满足此表达式的数据包才被捕 获），其格式为： [not] primitive { and|or [not] primitive } [ ] ：表示中括号内的内容为可选项 and ：表示逻辑与，and两端必须全部为真 or ：表示逻辑或，or两端只要有一个为真 not ：表示逻辑非，not右端为假 | ：表示二选一 ：表示尖括号内的内容为必选项 { } ：表示大括号内的内容为可重复0至无数次的项 primitive：表示原语，其定义见下一页 常用的过滤表达式1 src host 22 表示只抓取从22发出来的包 dst host 22 表示只抓取发往22的包 host 22 表示即抓取发往22的包也抓取从22发出来的包 更多的过滤表达式 参考： /CaptureFilters 如果该用户想查找 目的端口等于8888，且源 IP为05的 UDP包时，用如下过 滤表达式： udp.port == 8888 and ip.src==05 见下图： 查找数据包时的过滤表达式 参考1：/DisplayFilters 参考2：WireShark自带的用户手册 再填写表达式时，用户输入小数点后， WireShark会自动显示一个列表，供用户选 择，如下图： udp.port：udp包的源端口 udp.dstport：udp包的目的端口 END * primitive有许多形式： [src|dst] host host host表示抓取主机host上的网络包 src表示host为数据发送端 dst表示host为数据接收端 如果不指定src或dst，表示host既是发送端也是接收端 [tcp|udp] [src|dst] port port tcp表示抓tcp包 udp表示抓udp包 port表示抓端口为port的包 其他的与前一个primitive类同 更多的形式参考WireShark使用手册 常用的过滤表达式2 udp port 2002 表示只抓取源端口或目的端口为2002的UDP包 portrange 2001-2020 表示只抓取源端口或目的端口在[2001,2020]闭区间内的UDP包 dst host 22 and dst udp port 2002 表示只抓取发往22:2002的UDP包 如何从已抓捕的数据中快速查找特定数据包 当用户已经抓捕了大量的网络包，如果要在之中查找某个特 定的包，不可能一个一个的去检查，WireShark为用户提供 了另一个过滤机制， 下图为某用户已经抓取了大量的数据包： *