Wireshark从入门到放弃

Wireshark是世界上首要和广泛使用的网络协议分析工具。它允许您在微观层面上查看网络上发生的事情，并且是许多商业和非营利企业教育机构的研究标准。支持数百种协议，并不断添加更多协议。具有实时捕获和离线分析，多平台，支持图形界面和命令行等功能。以便我们进行快速、直观的分析数据。

启动

Wireshark的启动很简单，我们可以在开始菜单中找到Wireshark的图标，或者在终端执行Wireshark命令即可。
进入到wireshark工具的首页界面，会让我们选择要监听的网卡。选择我们的监听的网卡。直接双击即可。

界面介绍

wireshark大体可分为五个区域，分别如下所示。

快捷功能栏分别对应

数据列表栏

牛刀小试

01过滤IP

只看目的IP地址的数据包：

ip.dst == xxx.xxx.xxx.xxx

如我们只看到达192.168.123.1的数据

只看来源IP地址的数据包：

ip.src == xxx.xxx.xxx.xxx

如我们只看来自192.168.123.33的数据

查看某个IP地址的数据包：

ip.addr eq xxx.xxx.xxx.xxx
#如
ip.addr eq 192.168.123.33

过滤端口

只显示源地址或者目的地址为tcp协议80端口的数据包：

ip.addr eq xxx.xxx.xxx.xxx && tcp.port == 80

只显示来源地址为tcp协议的80端口数据包：

tcp.srcport == 80

只显示目的地址为TCP协议的80端口数据包：

tcp.dstport == 80

只显示端口号大于或等于0且小于等于100的数据包：(不分来源IP和目的IP)

tcp.srcport >= 0 && tcp.srcport <= 100

过滤协议
tcp/udp/ip/dhcp/icmp/ftp/dns/http/arp/...等等
如我们只看tcp协议

其他协议同上。

过滤MAC地址

只显示来源MAC地址为xx:xx:xx:xx:xx:xx的数据包

eth.src == xx:xx:xx:xx:xx:xx

只显示目的地址为xx:xx:xx:xx:xx:xx的数据包

eth.dst == xx:xx:xx:xx:xx:xx 

过滤数据包长度

只显示UDP协议并且长度大于等于10的数据包

这里的 >= 表示大于等于 <= 表示小于等于 == 表示等于

udp.length >= 10 

只显示tcp协议的长度大于等于1000的数据包

tcp.len >= 1000

只显示tcp协议簇的长度大于等于100的数据包并且是HTTP协议的数据包

tcp.len >= 100 && http

过滤HTTP

只显示HTTP协议的数据包
http
只显示GET请求的数据的数据包

http.request.method == "GET"

只显示gost请求的数据的数据包

http.request.method == "GOST"

只显示http的数据包并且包含字符串404的数据包

http contains 404

能力提升

数据流跟踪

在某个http数据包或tcp数据包中右键选择追踪流，可以将HTTP流或TCP流汇聚或还原成数据，在弹出的框中可以看到数据内容。

根据数据包类型的不同，这里的选项也有所差异。因为我这里选择的是TCP协议。所以右键追踪流的时候,只能选择TCP流

数据包的提取

导出某个协议的所有数据文件
点击菜单栏中的文件，选择导出对象，之后选择我们要导出的协议。我这里选择HTTP

选择保存路径之后。就可以查看它请求了哪些文件以及图片

导出某个数据包文件

选中我们要保存的数据包。之后在数据包被格式化之后的栏中找到Portable Network Graphics。取首字母的话也就是PNG。
其他文件类型于此相似。都是取首字母。右键之后。点击显示分组字节。

效果如下：

抓取密码（仅http网站有效）

http.request.method == "GOST"

查找QQ号(手机)

按ctrl+f 搜索十六进制 00 00 00 00 0d