WiresharkwinWireshark抓包.docVIP

  • 14
  • 0
  • 约2.63千字
  • 约 6页
  • 2017-02-04 发布于北京
  • 举报
WiresharkwinWireshark抓包

如何使用Wireshark抓包Wireshark使用说明 /730213/236310Wireshark简介: ? Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用 pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码!!? wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原 来那个公司注册,Wireshark这个新名字也就应运而生了。 Wireshark使用说明: ? Protocol(协议): 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议,则默认使用所有支持的协议。 Direction(方向): 可能的值: src, dst, src and dst, src or dst 如果没有特别指明来源或目的地,则默认使用 src or dst 作为关键字。 例如,host 与src or dst host 是一样的。 Host(s): 可能的值: net, port, host, portrange. 如果没有指定此值,则默认使用host关键字。 例如,src 与src host 相同。 Logical Operations(逻辑运算): 可能的值:not, and, or. 否(not)具有最高的优先级。或(or)和与(and)具有相同的优先级,运算时从左至右进行。 例如, not tcp port 3128 and tcp port 23与(not tcp port 3128) and tcp port 23相同。 not tcp port 3128 and tcp port 23与not (tcp port 3128 and tcp port 23)不同。 ? 例子: 基本格式: [protocol] [src/dst] [host/port] ** and/or/not ** ? capture捉包: tcp dst port 21? 显示目的TCP端口为21的封包。 ? ip src host 42? 显示来源IP地址为42? 的封包。 host 42??? 显示目的或来源IP地址为42? 的封包。 src portrange 2000-2500? 显示来源为UDP或TCP,并且端口号在2000至2500范围内的封包。 not imcp? 显示除了icmp以外的所有封包。(icmp通常被ping工具使用) src host 2 and not dst net /24? 显示来源IP地址为2,但目的地不是/24的封包。 (src host 2 or src net /16) and tcp dst portrange 200-10000 and dst net /8? ?显示来源IP为2或者来源网络为/16,目的地TCP端口号在200至10000之间,并且目的位于网络/8内的所有封包。 ? 注意事项: 当使用关键字作为值时,需使用反斜杠“\”。 ether proto \ip (与关键字ip相同). 这样写将会以IP协议作为目标。 ip proto \icmp (与关键字icmp相同). 这样写将会以ping工具常用的icmp作为目标。 可以在ip或ether后面使用multicast及broadcast关键字。 当您想排除广播请求时,no broadcast就会非常有用。 ? 另外不同的表示方式:? ip.addr == 42??? 显示目的或来源IP地址为42? 的封包。 tcp.port eq 25 or icmp??????? 显示tcp端口为25或imcp的包 tcp.dstport == 25 显示目的TCP端口号为25的封包。? tcp.port == 80 || udp.port == 80 显示tcp端口为25或udp端口是80的包 eth.addr ==? 00-1C-23-27-72-1E? 显示mac地址是 00-1C-23-27-72-1E的包 tcp.flags 显示包含TCP标志的封包。? tcp.flags.syn == 0x02 显示包含TCP SYN标志的封包。? http.request.uri matches gl=se$?? 匹配url中最后字符是gl=se的封包。 Wireshark是一个抓取网络数据包的工具,这对分析网络问

文档评论(0)

1亿VIP精品文档

相关文档