抓包工具Wireshark实典型方法介绍.docx

抓包工具Wireshark典型使用方法在日常维护工作中，经常用到wireshark抓包分析工具。这里介绍几种比较实用的wireshark使用方法。用“偏移”方式过滤抓包一般在wireshark过滤报文时，我们一般都使用像这种表达式：ip src host 10.1.1.1来过滤报文，但是有时候这种表达式，并不能完全体现我们的意图，那么我们可以使用“偏移”的这种方式来更加具体灵活的过滤我们想要的报文。偏移一位举例比如我们想过滤某个报文TCP协议层中，目的端口号=80的数据包。如下图所示，我们可以看出，在TCP协议层中，目的端口号所占用的字节数，可以看出目的端口号占用了2个字节，并且对应的16进制为“0x0050”。然后，如下图所示，我们点击TCP层的首行，从代码栏中，我们可以看到整个TCP协议层所有的16进制代码，而我们关注的“目的端口”字段“0050”，在TCP层的第3字节和第4字节，那么我们需要做的就是将“0x50”过滤出来。那么我们可以得出过滤的指令：tcp[3:1]==0x50这个表达式里的“tcp”表示报文的tcp协议层，3:1表示我们需要过滤的是第3字节开始，往后偏移1个字节。偏移多位举例比如我们想过滤报文中的“源地址”，将源地址192.168.1.100中最后的2个8位的1.100过出来，从下面的图中，我们可以看出，1.100的16进制是ox0164，并占用了2个字节位