Wireshark是一款非常流行的网络数据包分析软件,功能强大。它可以拦截各种网络数据包,并显示网络数据包的详细信息。用wireshark的人一定要知道网络协议,否则看不懂wireshark。出于安全原因,wireshark只能查看数据包,但不能修改数据包的内容或发送数据包。Wireshark可以获得HTTP和HTTPS,但它不能解密HTTPS,所以wireshark不能理解HTTPS的内容。综上所述,如果是处理HTTP,HTTPS还在用Fiddler,其他协议如TCP、UDP都在用wireshark。
Wireshark开始抓取数据包并启动接口。
Wireshark是一个网络数据包,它捕获机器上的某个网卡。当机器上有多个网卡时,您需要选择一个网卡。单击capture-接口.将出现以下对话框,并选择正确的网卡。然后点击“开始”按钮开始抓取袋子。
Wireshark窗口简介
WireShark主要分为这几个接口:1。DisplayFilter(显示过滤器),用于过滤2。PacketListPane(数据包列表),显示捕获的数据包,包括源地址、目的地址和端口号。不同的颜色,代表3。PacketDetailsPane,显示数据包4中的字段。剖析器窗格(十六进制数据)5。杂项(地址栏,杂项)第2页Wireshark显示过滤。
过滤很重要。新手在使用wireshark时,会在几千条甚至上万条记录中得到大量冗余信息,很难找到自己需要的部分。变得迷茫。过滤器将帮助我们在大量数据中快速找到我们需要的信息。过滤器有两种,一种是显示过滤器,就是主界面上的那个,另一种是捕获过滤器,用来过滤捕获的数据包,避免捕获太多记录。在捕获-捕获过滤器中设置保存过滤器。在“过滤器”列中,填写过滤器的表达式,单击“保存”按钮并取一个名称。例如“过滤器102”,
过滤器栏上还有一个按钮“过滤器102”。
过滤表达式的规则表达式1的规则。协议过滤,比如TCP,只显示TCP协议。2.IP过滤,例如ip.src==192.168.1.102显示源地址为192.168.1.102,ip.dst==192.168.1.102,目的地址为192.168.1.1023。端口过滤器TCP.4.Http模式筛选http.request.method=='GET '并且只显示HTTPGET方法的。5.逻辑运算符是AND/OR数据包列表(PacketListPane)。数据包列表面板显示编号、时间戳、源地址、目的地址、协议、长度和数据包信息。您可以看到不同的协议以不同的颜色显示。您也可以修改这些显示颜色规则,视图-颜色规则。
PacketDetailsPane是我们最重要的面板,用于查看协议中的每个字段。每一行信息都是帧:物理层以太网的数据帧profile netii:数据链路层的以太网帧头信息Internet protocol version 4:Internet层的IP包头信息TransmissionControlProtocol:传输层的数据段头信息T,这里是应用层的信息,这里是HTTP协议第3页的wireshark以及对应的OSI七层模型。
TCP包的具体内容从下图可以看到wireshark捕获的TCP包中的各个字段。
第4页TCP三次握手过程实例分析看到这里,我们基本上对wireshak有了初步的了解。现在我们来看一个TCP三次握手的例子。三次握手过程是
这张图我看过很多次了。这次我们就用wireshark来实际分析一下三次握手的过程。打开wireshark,打开浏览器,输入http://www.cr173.com。在wireshark中输入http filtering,然后选择GET/tankxiaoHTTP/1.1的记录,点击右键,然后点击‘follow tcpstream’。这样做的目的是获取与打开网站的浏览器相关的数据包,你会得到下图。
从图中可以看出,wireshark从三次握手中截获了三个数据包。第四个包是HTTP,说明HTTP确实使用TCP建立连接。在第一个握手包中,客户端发送一个带有SYN标志和序列号0的TCP,表示客户端请求建立连接。如下图
第二次握手的数据包服务器用ACK ACK SYN发回确认数据包。将AcknowledgementNumber设置为客户的ISN加1,即0 1=1,如下图所示。
三次握手中的数据包客户端再次发送确认数据包(ACK ),其中SYN标志位为0,ACK标志位为1。它还通过服务器将ACK)SYN的序列号字段1置于确认字段中,并将其发送给另一方。它还在数据段中写入ISN的1,如下图所示:
这样就通过了TCP三次握手,建立了连接。