wireshark抓包分析如何使用wireshark抓包分析udp

wireshark抓包分析  时间:2021-06-14  阅读:()

如何使用wireshark抓包

启动wireshark后,选择工具栏中的快捷键(红色标记的按钮)即可Start a new live capture。

主界面上也有一个interface list(如下图红色标记1),列出了系统中安装的网卡,选择其中一个可以接收数据的的网卡也可以开始抓包。

在启动时候也许会遇到这样的问题:弹出一个对话框说 NPF driver 没有启动,无法抓包。

在win7或Vista下找到C: systemsystem32下的cmd.exe 以管理员身份运行,然后输入 start npf,启动NPf服务。

重新启动wireshark就可以抓包了。

抓包之前也可以做一些设置,如上红色图标记2,点击后进入设置对话框,具体设置如下: Interface:指定在哪个接口(网卡)上抓包(系统会自动选择一块网卡)。

Limit each packet:限制每个包的大小,缺省情况不限制。

Capture packets in promiscuous mode:是否打开混杂模式。

如果打开,抓 取所有的数据包。

一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。

Filter:过滤器。

只抓取满足过滤规则的包。

File:可输入文件名称将抓到的包写到指定的文件中。

Use ring buffer: 是否使用循环缓冲。

缺省情况下不使用,即一直抓包。

循环缓冲只有在写文件的时候才有效。

如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷。

Update list of packets in real time:如果复选框被选中,可以使每个数据包在被截获时就实时显示出来,而不是在嗅探过程结束之后才显示所有截获的数据包。

单击逗OK地按钮开始抓包,系统显示出接收的不同数据包的统计信息,单击逗地按钮停止抓包后,所抓包的分析结果显示在面板中,如下图所示: 为了使抓取的包更有针对性,在抓包之前,开启了的视频聊天,因为视频所使用的是UDP协议,所以抓取的包大部分是采用UDP协议的包。

3、对抓包结果的说明 wireshark的抓包结果整个窗口被分成三部分:最上面为数据包列表,用来显示截获的每个数据包的总结性信息;中间为协议树,用来显示选定的数据包所属的协议信息;最下边是以十六进制形式表示的数据包内容,用来显示数据包在物理层上传输时的最终形式。

使用wireshark可以很方便地对截获的数据包进行分析,包括该数据包的源地址、目的地址、所属协议等。

上图的数据包列表中,第一列是编号(如第1个包),第二列是截取时间(0.000000),第三列source是源地址(115.155.39.93),第四列destination是目的地址(115.155.39.112),第五列protocol是这个包使用的协议(这里是UDP协议),第六列info是一些其它的信息,包括源端口号和目的端口号(源端口:58459,目的端口:54062)。

中间的是协议树,如下图: 通过此协议树可以得到被截获数据包的更多信息,如主机的MAC地址( II)、IP地址( protocol)、UDP端口号(user datagram protocol)以及UDP协议的具体内容(data)。

最下面是以十六进制显示的数据包的具体内容,如图: 这是被截获的数据包在物理媒体上传输时的最终形式,当在协议树中选中某行时,与其对应的十六进制代码同样会被选中,这样就可以很方便的对各种协议的数据包进行分析。

4、验证网络字节序 网络上的数据流是字节流,对于一个多字节数值(比如十进制1014 = 0x03 f6),在进行网络传输的时候,先传递哪个字节,即先传递高位逗03地还是先传递低位逗f6地。

也就是说,当接收端收到第一个字节的时候,它是将这个字节作为高位还是低位来处理。

下面通过截图具体说明: 最下面是物理媒体上传输的字节流的最终形式,都是16进制表示,发送时按顺序先发送00 23 54 c3 …00 03 f6 …接收时也按此顺序接收字节。

选中total length:1014, 它的十六进制表示是0x03f6, 从下面的蓝色选中区域可以看到,03在前面,f6在后面,即高字节数据在低地址,低字节数据在高地址(图中地址从上到下从左到右依次递增),所以可知,网络字节序采用的是大端模式。

如何解析抓包的数据wireshark

首先我们打开wireshark软件的主界面,在主界面上选择网卡,然后点击start。

wireshark即进入抓包分析过程。

在本篇我们选择以太网,进行抓包。

接下来再界面我们可以看到wireshark抓到的实时数据包。

我们对数据包的各个字段进行解释。

1.No:代表数据包标号。

2.Time:在软件启动的多长时间内抓到。

3.Source:来源ip。

4.Destination: 目的ip。

5.Protocol:协议。

6.Length:数据包长度。

7.info:数据包信息。

接下来我们点击解析后的某一条数据可以查看数据包的详细信息。

在抓包过程中,我们可以点击图标启动或者停止。

来启动或者停止抓取数据包。

接下来我们将简单介绍Filter处,对来源Ip以及目的Ip的过滤表达式的写法。

首先我们在Filter处填写ip.addr eq 192.168.2.101。

表示获取来源ip以及目的ip都是192.168.2.101的数据包。

(此处解释 eq 换成==同样的效果) 在Filter处填写:ip.src == 192.168.2.101。

表示获取来源地址为192.168.2.101的数据包。

在Filter处填写:ip.dst == 119.167.140.103。

表示获取目的地址为119.167.140.103的数据包。

在Filter处填写:ip.dst == 119.167.140.103 or ip.dst == 192.168.2.45。

表示获取目的地址为119.167.140.103或者192.168.2.45的数据包。

(此方法举例主要说明or的用法。

在or前后可以跟不同的表达式。

) 在Filter处填写:ip.dst == 119.167.140.103 and ip.src == 192.168.2.101。

表示获取目的地址为119.167.140.103且来源地址为192.168.2.101的数据包。

(此方法举例主要说明and 的用法)

wireshark如何抓包

Wireshark 一般在抓包的时候无需过滤,直接在数据分析时候过滤出来你想要的数据就成了。

1.具体为Capture->Interface->(选择你的网卡)start 这时候数据界面就显示了当前网卡的所有数据和协议了。

2.下来就是找到我们想要的数据 教你一些技巧,比如我们要找ip地址为192.168.2.110的交互数据 可以在 Filter:里面填写 ip.addr == 192.168.2.110 (回车或者点Apply就OK) 如果我们只想抓TCP的 ip.addr == 192.168.2.110 && tcp (注意要小写) 如果不想看到ACK ip.addr == 192.168.2.110 && tcp && tcp.len != 0 如果要看数据包中含有5252的值的数据(注意此处为16进制) ip.addr == 192.168.2.110 && tcp && tcp.len != 0 && (data.data contains 5252) 3. 含有很多过滤方法可以点击Express,里面有一些选项,自己多试试。

用好一个工具很重要,但要长期的积累才行,自己多使用,多看点教程就OK。

如何使用wireshark抓包分析udp

开始界面 wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。

点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。

然后点击"Start"按钮, 开始抓包 Wireshark 窗口介绍 WireShark 主要分为这几个界面 1. Display Filter(显示过滤器), 用于过滤 2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。

颜色不同,代表 3. Packet Details Pane(封包详细信息), 显示封包中的字段 4. Dissector Pane(16进制数据) 5. Miscellanous(地址栏,杂项) Wireshark 显示过滤 使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。

搞得晕头转向。

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种, 一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录 一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。

在Capture -> Capture Filters 中设置 保存过滤 在Filter栏上,填好Filter的表达式后,点击Save按钮, 取个名字。

比如"Filter 102", Filter栏上就多了个"Filter 102" 的按钮。

过滤表达式的规则 表达式规则 1. 协议过滤 比如TCP,只显示TCP协议。

2. IP 过滤 比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102, ip.dst==192.168.1.102, 目标地址为192.168.1.102 3. 端口过滤 tcp.port ==80, 端口为80的 tcp.srcport == 80, 只显示TCP协议的愿端口为80的。

4. Http模式过滤 http.request.method=="GET", 只显示HTTP GET方法的。

5. 逻辑运算符为 AND/ OR 常用的过滤表达式 过滤表达式 用途 http 只查看HTTP协议的记录 ip.src ==192.168.1.102 or ip.dst==192.168.1.102 源地址或者目标地址是192.168.1.102 封包列表(Packet List Pane) 封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。

你可以看到不同的协议用了不同的颜色显示。

你也可以修改这些显示颜色的规则, View ->Coloring Rules. 封包详细信息 (Packet Details Pane) 这个面板是我们最重要的,用来查看协议中的每一个字段。

各行信息分别为 Frame: 物理层的数据帧概况 II: 数据链路层以太网帧头部信息 Protocol Version 4: 互联网层IP包头部信息 Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议 wireshark与对应的OSI七层模型 TCP包的具体内容 从下图可以看到wireshark捕获到的TCP包中的每个字段。

实例分析TCP三次握手过程 看到这, 基本上对wireshak有了初步了解, 现在我们看一个TCP三次握手的实例 三次握手过程为 这图我都看过很多遍了, 这次我们用wireshark实际分析下三次握手的过程。

打开wireshark, 打开浏览器输入 /tankxiao 在wireshark中输入http过滤, 然后选中GET /tankxiao HTTP/1.1的那条记录,右键然后点击"Follow TCP Stream", 这样做的目的是为了得到与浏览器打开网站相关的数据包,将得到如下图 图中可以看到wireshark截获到了三次握手的三个数据包。

第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。

第一次握手数据包 客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。

如下图 第二次握手的数据包 服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图 第三次握手的数据包 客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图: 就这样通过了TCP三次握手,建立了连接

hostkey俄罗斯、荷兰GPU显卡服务器/免费Windows Server

Hostkey.com成立于2007年的荷兰公司,主要运营服务器出租与托管,其次是VPS、域名、域名证书,各种软件授权等。hostkey当前运作荷兰阿姆斯特丹、俄罗斯莫斯科、美国纽约等数据中心。支持Paypal,信用卡,Webmoney,以及支付宝等付款方式。禁止VPN,代理,Tor,网络诈骗,儿童色情,Spam,网络扫描,俄罗斯色情,俄罗斯电影,俄罗斯MP3,俄罗斯Trackers,以及俄罗斯法...

A400互联(49元/月)洛杉矶CN2 GIA+BGP、1Gbps带宽,全场独服永久5折优惠

a400互联是一家成立于2020年商家,主营美国机房的产品,包括BGP线路、CN2 GIA线路的云服务器、独立服务器、高防服务器,接入线路优质,延迟低,稳定性高,额外也还有香港云服务器业务。当前,全场服务器5折,香港VPS7折,洛杉矶VPS5折,限时促销!A400互联官网:https://a400.net/优惠活动全场独服永久5折优惠(续费同价):0722香港VPS七折优惠:0711洛杉矶VPS五...

10gbiz($2.36/月),香港/洛杉矶CN2 GIA线路VPS,香港/日本独立服务器

10gbiz发布了9月优惠方案,针对VPS、独立服务器、站群服务器、高防服务器等均提供了一系列优惠方面,其中香港/洛杉矶CN2 GIA线路VPS主机4折优惠继续,优惠后最低每月仅2.36美元起;日本/香港独立服务器提供特价款首月1.5折27.43美元起;站群/G口服务器首月半价,高防服务器永久8.5折等。这是一家成立于2020年的主机商,提供包括独立服务器租用和VPS主机等产品,数据中心包括美国洛...

wireshark抓包分析为你推荐
模式识别算法机器学习和模式识别有什么区别?看教材,发现它们的算法都差不多一样啊。。。jstz谁有101网校的账号?labelforhtml中label是什么意思啊?收费视频怎么制作收费视频免费下载空间怎么才能免费安装空间播放器第三方支付系统→第三方支付平台有哪些平安易贷app平安易贷可靠吗为什么只能贷一次电子词典软件哪里有免费的汉语电子字典软件,谢谢!电子词典软件下载电子词典资源的网站?手机群发软件什么软件可以免费群发短信?
网站域名备案查询 如何注册网站域名 最便宜虚拟主机 东莞电信局 美国主机推荐 linkcloud realvnc 浙江独立 网通ip 阿里校园 申请免费空间和域名 shuang12 丽萨 主机管理系统 新加坡空间 注册阿里云邮箱 徐州电信 登陆qq空间 万网注册 如何登陆阿里云邮箱 更多