Wireshark从入门到放弃

博主： literature
发布时间：2022 年 04 月 21 日
180 次浏览
关闭评论
2300字数
分类：主机教程

启动

Wireshark的启动很简单，我们可以在开始菜单中找到Wireshark的图标，或者在终端执行Wireshark命令即可。
进入到wireshark工具的首页界面，会让我们选择要监听的网卡。选择我们的监听的网卡。直接双击即可。

界面介绍

wireshark大体可分为五个区域，分别如下所示。

快捷功能栏分别对应

序号	说明	功能
1	开始抓包	启动工具开始抓包
2	停止抓包	停止工具抓包
3	重新开始抓包	重新开始
4	抓包设置	用来设置抓包参数
5	打开数据包文件	打开离线or保存的数据包
6	保存数据包	保存数据
7	关闭捕获文件	关闭当前
8	重新加载	重新加载
9	查找	查找数据（`最常用`）
10	转到前一个分组	分组数据跳转
11	转到下一个分组	分组数据跳转
12	转到特定分组	分组数据跳转
13	转到首个分组	分组数据跳转
14	转到实时分组	分组数据跳转
15	抓包时跟随最新分组	实时到最新分组
16	对不同协议进行着色	便于区分协议
17	放大主窗口文字	放大文字
18	缩小主窗口文字	缩小文字
19	重置主窗口文字	重置窗口
20	调整分组列表适应内容	同上

数据列表栏

序号	说明	功能
1	`Time`	表示捕获包的时间
2	`source`	表示来源地址
3	`Destination`	表示目的地址
4	`Protocol`	表示协议名称
5	`Length`	表示数据包的长度
6	`Info`	表示数据包的信息

牛刀小试

01过滤IP

只看目的IP地址的数据包：

ip.dst == xxx.xxx.xxx.xxx

如我们只看到达192.168.123.1的数据

只看来源IP地址的数据包：

ip.src == xxx.xxx.xxx.xxx

如我们只看来自192.168.123.33的数据

查看某个IP地址的数据包：

ip.addr eq xxx.xxx.xxx.xxx
#如
ip.addr eq 192.168.123.33

过滤端口

只显示源地址或者目的地址为tcp协议80端口的数据包：

ip.addr eq xxx.xxx.xxx.xxx && tcp.port == 80

只显示来源地址为tcp协议的80端口数据包：

tcp.srcport == 80

只显示目的地址为TCP协议的80端口数据包：

tcp.dstport == 80

只显示端口号大于或等于0且小于等于100的数据包：(不分来源IP和目的IP)

tcp.srcport >= 0 && tcp.srcport <= 100

过滤协议
tcp/udp/ip/dhcp/icmp/ftp/dns/http/arp/...等等
如我们只看tcp协议

其他协议同上。

过滤MAC地址

只显示来源MAC地址为xx:xx:xx:xx:xx:xx的数据包

eth.src == xx:xx:xx:xx:xx:xx

只显示目的地址为xx:xx:xx:xx:xx:xx的数据包

eth.dst == xx:xx:xx:xx:xx:xx

过滤数据包长度

只显示UDP协议并且长度大于等于10的数据包

这里的 >= 表示大于等于 <= 表示小于等于 == 表示等于

udp.length >= 10

只显示tcp协议的长度大于等于1000的数据包

tcp.len >= 1000

只显示tcp协议簇的长度大于等于100的数据包并且是HTTP协议的数据包

tcp.len >= 100 && http

过滤HTTP

只显示HTTP协议的数据包
http
只显示GET请求的数据的数据包

http.request.method == "GET"

只显示gost请求的数据的数据包

http.request.method == "GOST"

只显示http的数据包并且包含字符串404的数据包

http contains 404

能力提升

数据流跟踪

在某个http数据包或tcp数据包中右键选择追踪流，可以将HTTP流或TCP流汇聚或还原成数据，在弹出的框中可以看到数据内容。

根据数据包类型的不同，这里的选项也有所差异。因为我这里选择的是TCP协议。所以右键追踪流的时候,只能选择TCP流

数据包的提取

导出某个协议的所有数据文件
点击菜单栏中的文件，选择导出对象，之后选择我们要导出的协议。我这里选择HTTP

选择保存路径之后。就可以查看它请求了哪些文件以及图片

导出某个数据包文件

选中我们要保存的数据包。之后在数据包被格式化之后的栏中找到Portable Network Graphics。取首字母的话也就是PNG。
其他文件类型于此相似。都是取首字母。右键之后。点击显示分组字节。

效果如下：

抓取密码（仅http网站有效）

http.request.method == "GOST"

查找QQ号(手机)

按ctrl+f 搜索十六进制 00 00 00 00 0d

版权属于：逍遥子大表哥

本文链接：https://blog.bbskali.cn/3139.html

按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

最后修改：2023 年 08 月 04 日

如果觉得我的文章对你有用，请随意赞赏

此处评论已关闭

Wireshark从入门到放弃

literature • 2022 年 04 月 21 日

<p><img src="https://blog.bbskali.cn/usr/uploads/2022/04/2032156724.png" alt="Wireshark从入门到放弃" title="Wireshark从入门到放弃" style="" class="aligncenter"style=""></p><h3>启动</h3><p>Wireshark的启动很简单，我们可以在开始菜单中找到Wireshark的图标，或者在终端执行<code>Wireshark</code>命令即可。<br />进入到<code>wireshark</code>工具的首页界面，会让我们选择要监听的网卡。选择我们的监听的网卡。直接双击即可。<br /><img src="https://blog.bbskali.cn/usr/uploads/2022/04/4134373477.png" alt="wireshark" title="wireshark" style="" class="aligncenter"style=""></p><h3>界面介绍</h3><p>wireshark大体可分为五个区域，分别如下所示。<br /><img src="https://blog.bbskali.cn/usr/uploads/2022/04/2953585586.png" alt="" title="" style="" class="aligncenter"style=""></p><h4>快捷功能栏分别对应</h4><p><img src="https://blog.bbskali.cn/usr/uploads/2022/04/3517648068.png" alt="" title="" style="" class="aligncenter"style=""></p><table>
 <thead>
  <tr>
   <th align="left">序号</th>
   <th align="center">说明</th>
   <th align="right">功能</th>
  </tr>
 </thead>
 <tbody>
  <tr>
   <td align="left">1</td>
   <td align="center">开始抓包</td>
   <td align="right">启动工具 开始抓包</td>
  </tr>
  <tr>
   <td align="left">2</td>
   <td align="center">停止抓包</td>
   <td align="right">停止工具抓包</td>
  </tr>
  <tr>
   <td align="left">3</td>
   <td align="center">重新开始抓包</td>
   <td align="right">重新开始</td>
  </tr>
  <tr>
   <td align="left">4</td>
   <td align="center">抓包设置</td>
   <td align="right">用来设置抓包参数</td>
  </tr>
  <tr>
   <td align="left">5</td>
   <td align="center">打开数据包文件</td>
   <td align="right">打开离线or保存的数据包</td>
  </tr>
  <tr>
   <td align="left">6</td>
   <td align="center">保存数据包</td>
   <td align="right">保存数据</td>
  </tr>
  <tr>
   <td align="left">7</td>
   <td align="center">关闭捕获文件</td>
   <td align="right">关闭当前</td>
  </tr>
  <tr>
   <td align="left">8</td>
   <td align="center">重新加载</td>
   <td align="right">重新加载</td>
  </tr>
  <tr>
   <td align="left">9</td>
   <td align="center">查找</td>
   <td align="right">查找数据（<code>最常用</code>）</td>
  </tr>
  <tr>
   <td align="left">10</td>
   <td align="center">转到前一个分组</td>
   <td align="right">分组数据跳转</td>
  </tr>
  <tr>
   <td align="left">11</td>
   <td align="center">转到下一个分组</td>
   <td align="right">分组数据跳转</td>
  </tr>
  <tr>
   <td align="left">12</td>
   <td align="center">转到特定分组</td>
   <td align="right">分组数据跳转</td>
  </tr>
  <tr>
   <td align="left">13</td>
   <td align="center">转到首个分组</td>
   <td align="right">分组数据跳转</td>
  </tr>
  <tr>
   <td align="left">14</td>
   <td align="center">转到实时分组</td>
   <td align="right">分组数据跳转</td>
  </tr>
  <tr>
   <td align="left">15</td>
   <td align="center">抓包时跟随最新分组</td>
   <td align="right">实时到最新分组</td>
  </tr>
  <tr>
   <td align="left">16</td>
   <td align="center">对不同协议进行着色</td>
   <td align="right">便于区分协议</td>
  </tr>
  <tr>
   <td align="left">17</td>
   <td align="center">放大主窗口文字</td>
   <td align="right">放大文字</td>
  </tr>
  <tr>
   <td align="left">18</td>
   <td align="center">缩小主窗口文字</td>
   <td align="right">缩小文字</td>
  </tr>
  <tr>
   <td align="left">19</td>
   <td align="center">重置主窗口文字</td>
   <td align="right">重置窗口</td>
  </tr>
  <tr>
   <td align="left">20</td>
   <td align="center">调整分组列表适应内容</td>
   <td align="right">同上</td>
  </tr>
 </tbody>
</table><h4>数据列表栏</h4><p><img src="https://blog.bbskali.cn/usr/uploads/2022/04/2723366939.png" alt="" title="" style="" class="aligncenter"style=""></p><table>
 <thead>
  <tr>
   <th align="left">序号</th>
   <th align="center">说明</th>
   <th align="right">功能</th>
  </tr>
 </thead>
 <tbody>
  <tr>
   <td align="left">1</td>
   <td align="center"><code>Time</code></td>
   <td align="right">表示捕获包的时间</td>
  </tr>
  <tr>
   <td align="left">2</td>
   <td align="center"><code>source</code></td>
   <td align="right">表示来源地址</td>
  </tr>
  <tr>
   <td align="left">3</td>
   <td align="center"><code>Destination</code></td>
   <td align="right">表示目的地址</td>
  </tr>
  <tr>
   <td align="left">4</td>
   <td align="center"><code>Protocol</code></td>
   <td align="right">表示协议名称</td>
  </tr>
  <tr>
   <td align="left">5</td>
   <td align="center"><code>Length</code></td>
   <td align="right">表示数据包的长度</td>
  </tr>
  <tr>
   <td align="left">6</td>
   <td align="center"><code>Info</code></td>
   <td align="right">表示数据包的信息</td>
  </tr>
 </tbody>
</table><h3>牛刀小试</h3><h4>01过滤IP</h4><p>只看目的IP地址的数据包：</p><pre><code>ip.dst == xxx.xxx.xxx.xxx</code></pre><p>如我们只看到达<code>192.168.123.1</code>的数据<br /><img src="https://blog.bbskali.cn/usr/uploads/2022/04/596919819.png" alt="" title="" style="" class="aligncenter"style=""><br />只看来源IP地址的数据包：</p><pre><code>ip.src == xxx.xxx.xxx.xxx</code></pre><p>如我们只看来自<code>192.168.123.33</code>的数据<br /><img src="https://blog.bbskali.cn/usr/uploads/2022/04/2426544885.png" alt="" title="" style="" class="aligncenter"style=""><br />查看某个IP地址的数据包：</p><pre><code>ip.addr eq xxx.xxx.xxx.xxx
#如
ip.addr eq 192.168.123.33</code></pre><p><img src="https://blog.bbskali.cn/usr/uploads/2022/04/2614059164.png" alt="" title="" style="" class="aligncenter"style=""></p><h3>过滤端口</h3><p>只显示源地址或者目的地址为tcp协议80端口的数据包：</p><pre><code>ip.addr eq xxx.xxx.xxx.xxx && tcp.port == 80</code></pre><p>只显示来源地址为tcp协议的80端口数据包：</p><pre><code>tcp.srcport == 80</code></pre><p>只显示目的地址为TCP协议的80端口数据包：</p><pre><code>tcp.dstport == 80</code></pre><p>只显示端口号大于或等于0且小于等于100的数据包：(不分来源IP和目的IP)</p><pre><code>tcp.srcport >= 0 && tcp.srcport <= 100</code></pre><p>过滤协议<br />tcp/udp/ip/dhcp/icmp/ftp/dns/http/arp/...等等<br />如我们只看tcp协议<br /><img src="https://blog.bbskali.cn/usr/uploads/2022/04/1105986759.png" alt="" title="" style="" class="aligncenter"style=""><br />其他协议同上。</p><h4>过滤MAC地址</h4><p>只显示来源MAC地址为xx:xx:xx:xx:xx:xx的数据包</p><pre><code>eth.src == xx:xx:xx:xx:xx:xx</code></pre><p>只显示目的地址为xx:xx:xx:xx:xx:xx的数据包</p><pre><code>eth.dst == xx:xx:xx:xx:xx:xx </code></pre><h4>过滤数据包长度</h4><p>只显示<code>UDP</code>协议并且长度大于等于10的数据包</p><p>这里的 <code>>=</code> 表示大于等于 <code><=</code> 表示小于等于<code> == </code>表示等于</p><pre><code>udp.length >= 10 </code></pre><p><img src="https://blog.bbskali.cn/usr/uploads/2022/04/449003834.png" alt="" title="" style="" class="aligncenter"style=""><br />只显示tcp协议的长度大于等于1000的数据包</p><pre><code>tcp.len >= 1000</code></pre><p>只显示tcp协议簇的长度大于等于100的数据包并且是HTTP协议的数据包</p><pre><code>tcp.len >= 100 && http</code></pre><h4>过滤HTTP</h4><p>只显示HTTP协议的数据包<br />http<br />只显示<code>GET</code>请求的数据的数据包</p><pre><code>http.request.method == "GET"</code></pre><p>只显示<code>gost</code>请求的数据的数据包</p><pre><code>http.request.method == "GOST"</code></pre><p>只显示http的数据包并且包含字符串<code>404</code>的数据包</p><pre><code>http contains 404</code></pre><h3>能力提升</h3><h4>数据流跟踪</h4><p>在某个http数据包或tcp数据包中右键选择追踪流，可以将HTTP流或TCP流汇聚或还原成数据，在弹出的框中可以看到数据内容。</p><p>根据数据包类型的不同，这里的选项也有所差异。因为我这里选择的是TCP协议。所以右键追踪流的时候,只能选择TCP流<br /><img src="https://blog.bbskali.cn/usr/uploads/2022/04/2373435764.png" alt="" title="" style="" class="aligncenter"style=""></p><h4>数据包的提取</h4><p>导出某个协议的所有数据文件<br />点击菜单栏中的文件，选择<code>导出对象</code>，之后选择我们要导出的协议。我这里选择HTTP<br /><img src="https://blog.bbskali.cn/usr/uploads/2022/04/4254822842.png" alt="" title="" style="" class="aligncenter"style=""><br />选择保存路径之后。就可以查看它请求了哪些文件以及图片<br /><img src="https://blog.bbskali.cn/usr/uploads/2022/04/1151331127.png" alt="" title="" style="" class="aligncenter"style=""></p><h4>导出某个数据包文件</h4><p>选中我们要保存的数据包。之后在数据包被格式化之后的栏中找到<code>Portable Network Graphics</code>。取首字母的话也就是<code>PNG</code>。<br />其他文件类型于此相似。都是取首字母。右键之后。点击显示分组字节。<br /><img src="https://blog.bbskali.cn/usr/uploads/2022/04/3156101725.png" alt="" title="" style="" class="aligncenter"style=""><br />效果如下：<br /><img src="https://blog.bbskali.cn/usr/uploads/2022/04/4209108124.png" alt="" title="" style="" class="aligncenter"style=""></p><h4>抓取密码（仅http网站有效）</h4><pre><code>http.request.method == "GOST"</code></pre><p><img src="https://blog.bbskali.cn/usr/uploads/2022/04/2446728528.png" alt="" title="" style="" class="aligncenter"style=""></p><h4>查找QQ号(手机)</h4><p>按<code>ctrl+f</code> 搜索十六进制 <code>00 00 00 00 0d</code><br /><img src="https://blog.bbskali.cn/usr/uploads/2022/02/4138414426.jpg" alt="" title="" style="" class="aligncenter"style=""></p><p><hr class="content-copyright" style="margin-top:50px"></p><div class="post-copyright" style="font-style:normal"><p class="iconfont-copyright"><i class="glyphicon glyphicon-copyright-mark"></i></p><p class="content-copyright">版权属于：逍遥子大表哥</p><p class="content-copyright">本文链接：https://blog.bbskali.cn/3139.html</p><p class="content-copyright">按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。</p></div>

Wireshark从入门到放弃

启动

界面介绍

快捷功能栏分别对应

数据列表栏

牛刀小试

01过滤IP

过滤端口

过滤MAC地址

过滤数据包长度

过滤HTTP

能力提升

数据流跟踪

数据包的提取

导出某个数据包文件

抓取密码（仅http网站有效）

查找QQ号(手机)

live/msn等微软绝版邮箱详细的注册教程

欢迎使用 Typecho

一个功能强大又好用的RSS订阅器：FreshRSS安装教程

VPS使用BaiduPCS-Go高速下载百度网盘的文件，支持上传/离线下载等操作

使用Caddy申请免费的Let’s Encrypt泛域名SSL证书

Linux安装Siege

MetInfo 任意文件读取漏洞的修复与绕过

使用Plik搭建一个临时文件上传系统，自定义时长/下载即摧毁

一个轻量级的企业Wiki和团队知识分享平台：MM-Wiki搭建教程

一个在浏览器上运行的FTP客户端：SPRUT.io安装教程

Wireshark从入门到放弃