Wireshark
下载链接:
https://www.wireshark.org/download.html
根据电脑版本下载。
一个非常好用的免费的抓包工具。Wireshark使用WinPcap作为接口,直接与网卡进行数据报文交换。获取网络数据封包,包括 HTTP、TCP、UDP 等网络协议包。
wireshark的简单使用:
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。
wireshark是开源软件,可以放心使用。 可以运行在Windows和Mac OS上。
使用wireshark的人必须了解网络协议,否则很难看懂wireshark。
wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容
总结,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark
为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。
wireshark使用场景
1. 网络管理员会使用wireshark来检查网络问题
2. 软件测试工程师使用wireshark抓包,来分析自己测试的软件
3. 从事socket编程的工程师会用wireshark来调试
4. 听说,华为,中兴的大部分工程师都会用到wireshark。
总之跟网络相关的东西,都可能会用到wireshark.
数据包的过滤:
过滤表达式的规则
表达式规则
1. 协议过滤
比如TCP,只显示TCP协议。
2. IP 过滤
比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,
ip.dst==192.168.1.102, 目标地址为192.168.1.102
3. 端口过滤
tcp.port ==80, 端口为80的
tcp.srcport == 80, 只显示TCP协议的愿端口为80的。
4. Http模式过滤
http.request.method==”GET”, 只显示HTTP GET方法的。
5. 逻辑运算符为 AND/ OR
常用的过滤表达式
过滤地址
ip.addr==192.168.10.10 或 ip.addr eq 192.168.10.10 #过滤地址
ip.src==192.168.10.10 #过滤源地址,只看源地址为192.168.10.10
ip.dst==192.168.10.10 #过滤目的地址,只看目的地址为192.168.10.10过滤协议,直接输入协议名
icmp #只看ICMP协议的记录
http #只看HTTP协议的记录过滤协议和端口
tcp.port==80
tcp.srcport==80
tcp.dstport==80过滤http协议的请求方式
http.request.method==”GET”
http.request.method==”POST”
http.request.uri contains admin #url中包含admin的
http.request.code==404 #http请求状态码的连接符
&&
||
and
or通过连接符可以把上面的命令连接在一起,比如:
ip.src==192.168.10.10 and http.request.method==”POST”
wireshark与对应的OSI七层模型
TCP包的具体内容:
实例分析三次握手
打开网站
https://blog.csdn.net/Candyys
wireshark的作用
可看知乎这个问题–>
用 wireshark抓包工具能做到哪些有趣的事情?
Wireshark的常用功能分为四个方面:
1.一般分析任务
(1)找出在一个网络内发送数据包最多的主机
(2)查看网络通信
(3)查看某个主机使用了哪些程序
(4)基本正常的网络通信
(5)验证特有的网络操作
(6)了解尝试连接无线网络的用户
(7)同时捕获多个网络的数据
(8)实施无人值守数据捕获
(9)捕获并分析到/来自一个特定主机或子网的数据
(10)通过FTP或HTTP查看和重新配置文件传输
(11)从其他捕获工具导入跟踪文件
(12)使用最少的资源捕获数据
参考链接:
简明 Wireshark 和 TCP 入门指南