Wireshark是一款开源的网络数据包抓包与分析工具,主要用于网络问题排查、网络安全分析、协议调试等,之前我们在课本上学习的“tcp三次握手和4次挥手”、“arp协议”等,都可以用这个工具很清楚的看到过程。
1、下载
2、安装
我这里用的是mac,安装只需要如下图,把这两个安装好即可
3、汉化
左上角Wireshark -> Preferences... -> Appearance -> Language -> Chinese
4、使用
4.1、选择要抓包的网卡,双击即可对该网卡的数据包进行抓包
4.2、主界面介绍
4.3、数据包分层结构
5、显示过滤器
过滤已捕获的数据包,符合条件的进行显示
5.1、IP过滤器
过滤栏输入: ip.addr == IP地址
5.2、协议(Protocol)过滤器
例如,过滤http协议,过滤栏输入: http
5.3、端口过滤器
过滤栏输入: tcp.port == 端口
5.4、内容过滤
内容过滤支持 contains 关键字来过滤包含的关键字
在需要过滤的内容上,单击右键,选择作为过滤器应用 -> 选中,便会在过滤栏上生成过滤条件
例如,我要过滤ip为3.125.197.172并且,报文中包含[SYN]的数据包,只需要在过滤栏中输入:ip.addr == 3.125.197.172 && _ws.col.info contains "[SYN]"
6、捕获过滤器
只捕获符合条件的数据包
设置捕获过滤器,需要先将停止捕获,才能进行捕获设置:
