wireshark抓包应用指导说明书.doc.docVIP

杭州迪普科技有限公司 拟制 日期 评审人 日期 签发 日期 修订记录 日期 修订版本 描述 作者 V1.0 初稿完成 目录 5 2 功能介绍 5 3 图形界面抓报文 5 3.1 选择网卡抓报文 5 3.2 显示报文抓取时间 7 3.3 Wireshark界面布局 8 3.4 报文过滤条件 9 3.4.1 常用过滤条件 10 3.4.2 Wireshark expression 11 3.4.3 高级过滤条件 11 3.4.4 Wireshark capture filter 14 4 命令行抓报文 15 4.1 选择网卡 15 4.2 命令行过滤条件 17 4.3 常用过滤条件 17 5 批量转换报文格式 18  Wireshark介绍 Wireshark?是开源网络包分析工具，支持Windows/Linux/Unix环境。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。可以从网站下载最新版本的Wireshark (/download.html 。 Wireshark通常在4-8周内发布一次新版本 功能介绍 Wireshark支持图形和命令行两种抓报文方式 图形界面抓报文 选择网卡抓报文 第一步 打开wireshark抓包软件，点击“Capture--Interfaces”,如图3-1 图3-1选择网卡 第二步 选择抓包的网卡，点击”Strart“开始抓包，这样将抓取流经此网卡的所有报文，并临时保存在内存中。因此，如果持续抓包将消耗掉系统所有内存。如图3-2和图3-3 图3-2启动抓包 图3-3抓包界面 图标 说明 重新抓报文 停止抓报文 表1-1 显示报文抓取时间 打开wireshark抓包软件，点击“View--TimeDisplay Format--Date and Time of Day”，如图3-4和图3-5 图3-4 效果图： 图3-5 Wireshark界面布局 Wireshark界面主要分为三部分（如图3-6），区域一显示抓取的报文，区域二显示选中报文的包头详细信息，区域三显示选中报文的详细信息，默认以十六进制显示。 图3-6 功能 说明 区域一 显示抓取的报文 区域二 显示选中报文的包头详细信息 区域三 显示选中报文的详细信息，默认以十六进制显示 Packets 抓取的所有报文计数 Displayed 满足过滤条件的报文计数 表1-2 报文过滤条件 Wireshark能够根据应用的需要设置灵活方便的过滤条件，迅速筛选出符合条件的报文。 Wireshark的Filter过滤能够自动检测语法合法性，如果过滤条件设置正确，则Filter输入框为绿色，如果过滤条件设置错误，则Filter输入框为红色。如图3-7 图3-7 常用过滤条件 功能 说明 ip.addr==13 源IP地址或目的IP地址是13的报文 ip.src==13 源IP地址是13 ip.dst==13 目的IP地址是13 ip.src==13 and ip.dst==13 报文源IP地址是13且目的IP地址是81 IPip udp/tcp.port==80 过滤udp或tcp源端口或目的端口是80的报文 udp/tcp.srcport==40004 过滤udp或tcp源端口是40004的报文 udp/tcp.dstport==80 过滤udp或tcp目的端口是80的报文 tcp.srcport==40004 and tcp.dstport==80 过滤tcp协议源端口是40004且目的端口是80的报文 tcp/udp/http 过滤tcp/udp/http报文 tcp.flags.syn==0x02 抓tcp syn报文 ip.id==0xadcd 过滤ip报文id是0xadcd的报文 表1-3 Wireshark expression 当然，如果你对Filter过滤规则不熟悉或者不知道如何怎么写时，可以使用wireshark的Expression，这里列出了wireshark所支持的所有过滤协议以及过滤方式 图3-8 高级过滤条件 上述的过滤条件都是wireshark内置的，主要是根据已知的包头字段内容过滤。同时wireshark也支持根据报文负载内部过滤。 项目 说明 tcp/udp[offset:n] 从tcp或udp偏移指定字节后，命中指定n个字节的内容 tcp[20:8] 表示从20开始，取8个[8:3] 表示从开始，取个 udp[8:3]==81:60:03 不可以写为udp[8:3]==81