wireshark—报文分析工具培训.docVIP

报文分析工具培训 wireshark介绍（功能、基本使用方法、帮助） wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包， 并尝试显示包的尽可能详细的情况。 wireshark功能： 支持UNIX和Windows平台 在接口实时捕捉包 能详细显示包的详细协议信息 可以打开/保存捕捉的包 可以导入导出其他捕捉程序支持的包数据格式 可以通过多种方式过滤包 多种方式查找包 通过过滤以多种色彩显示包 创建多种统计分析 … wireshark基本使用方法： （1）、双击“桌面图标”或执行文件“wireshark.exe” （2）、进入wireshark主界面后，点击左上角图标 （3）、在弹出的“抓包网卡选项”中，选择自己机器的物理网卡，并点击“Start”，开始抓包录制工作。（此处，我抓包使用的物理网卡为：1） 此时，软件抓包显示区域内数据不断变化 （4）、点击wireshark停止键，结束抓包过程 （5）、点击wireshark软件左上角“File”后，选择“Save”选项，在弹出的对话框中，输入存档文件名后，点击“保存”，完成数据包存储工作。 wireshark帮助 选择主菜单中的“Help”项，出现帮助菜单。 帮助菜单包含以下几项： Contents：打开一个基本的帮助系统Supported Protocols：Wireshark支持的协议清单 About Wireshark：弹出信息窗口显示Wireshark的一些相关信息，如插件，目录等OK” 根据MAC地址过滤条件抓取报文 太以网头过滤eth.dst == A0:00:00:04:C5:84 // 过滤目标maceth.src eq A0:00:00:04:C5:84 // 过滤来源maceth.dst==A0:00:00:04:C5:84eth.dst==A0-00-00-04-C5-84eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的 根据IP地址过滤条件抓取报文 如来源IP或者目标IP等于某个IPip.src eq 07 or ip.dst eq 07或者ip.addr eq 07 // 都能显示来源IP和目标IP 根据TCP协议过滤条件抓取报文 tcp 根据UDP协议过滤条件抓取报文 udp 根据端口过滤条件抓取报文 tcp.port eq 80 // 不管端口是来源的还是目标的都显示tcp.port == 80tcp.port eq 2722tcp.port eq 80 or udp.port eq 80tcp.dstport == 80 // 只显tcp协议的目标端口80tcp.srcport == 80 // 只显tcp协议的来源端口80 udp.port eq 15000 根据过滤规则之间的与或非条件抓取报文 （1）过滤规则之间相与：用and连接过滤规则 （2）过滤规则之间相或：用or连接过滤规则 wireshark显示报文高级使用 打开已经截取好的报文 点击“Filter” 在“Filter string”项，输入过滤条件，点击“OK” 根据MAC地址过滤条件显示报文 根据IP地址过滤条件抓显示报文 根据TCP协议过滤条件显示报文 根据UDP协议过滤条件显示报文 根据端口过滤条件显示报文 根据过滤规则之间的与或非条件显示报文 （1）过滤规则之间相与： （2）过滤规则之间相或： （3）过滤规则相非 wireshark使用实战 举例说明： 根据IP筛选报文： ip.addr == 82 根据源IP筛选报文： ip.src == 82 根据目的IP筛选报文： ip.dst == 82 根据物理地址筛选报文： eth.addr == 00:16:ec:71:d9:98 根据源物理地址筛选报文： eth.src == 00:16:ec:71:d9:98 根据目的物理地址筛选报文： eth.dst == 00:16:ec:71:d9:98 根据非IP筛选报文： !(ip.addr == 82) 根据TCP端口筛选报文： tcp.port == 8080 根据源TCP端口筛选报文： tcp.srcport == 8080 根据目的TCP端口筛选报文： tcp.dstport == 8080 根据UDP端口筛选报文： udp.port ==