wireshark过滤抓包与过滤查看.docx

《wireshark过滤抓包与过滤查看.docx》由会员分享，可在线阅读，更多相关《wireshark过滤抓包与过滤查看.docx（9页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、在分析网络数据和推断网络故障问题中，都离不开网络协议分析软件或叫网络嗅探器、抓包软件等等这个“利器”，通过网络协议分析软件我们可以捕获网络中正常传输哪些数据包，通过分析这些数据包，我们就可以准确地推断网络故障环节出在哪。网络协议分析软 件众多，比方etherealwireshark 的前身),wireshark,omnipeek,sniffer,科来网络被誉为国产版sniffer，符合我们的使用习惯等等，本人水平有限，都是初步玩玩而 已，先谈谈个人对这几款软件使用感受，wiresharkethereal在对数据包的解码上，可 以说是相当的专业，能够深入到协议的细节上，用它们来对数据包深入分析相

2、当不错，更重 要的是它们还是免费得，但是用wiresharkethereal来分析大量数据包并在大量数据包 中快速推断问题所在，比较费时间，不能直观的反响出来，而且操作较为简单。像omnipeek,sniffer,科来网络这些软件是专业级网络分析软件，不仅仅能解码不过 有些解码还是没有wireshark 专业，还能直观形象的反响出数据状况，这些软件会对数据包进展统计，并生成各种各样的报表日志，便于我们查看和分析，能直观的看到问题所在， 但这类软件是收费，假设想感受这类专业级的软件，我推举玩科来网络技术沟通版， 免费注册激活，但是只能对 50 个点进展分析。废话不多说，下面介绍几个wiresha

3、rk 使用 小技巧，说的不好，还请各位多教导批判。目前 wireshark 最版本是 1.7 的，先简洁比照下wireshark 的 1.6 和 1.7 版本。下面是wireshark 的 1.6 版本的界面图：看不清图，请点击放大点击图中那个按钮，进入抓包网卡选择，然后点击 option 进入抓包条件设置，就会翻开如以下图的对话框假设想抓无线网卡的数据吧，就把图中那个勾去掉，不然会报错。点击 Capture Filter 进入过滤抓包设置也可以在这个按钮旁边，那个白色框直接写过滤语法，语法不完成或无 法错误，会变成粉红色的框，正确完整的会变成浅绿色，Filter name 是过滤条件命名，

4、Filter string 是过滤的语法定义，设置好了，点击new 会把你设置好的参加到过滤条件区域，下次要用的时候，直接选者你定义这个过滤条件名。下面是wireshark 的 1.7 版本的界面图：界面有所变化，同样是点击option 进入过滤编辑，如以下图：假设，左边的双击左边网卡可以直接进入过滤抓包设置对话框，中间是点击option 后进入的对话框，再双击网卡进入下面的过滤抓包设置对话框，后面就跟wireshark 的 1.6 版本一样了。下面聊聊过滤抓包语法，Filter string 中怎么写语法。大家可以看看capture Filter 原来已有的怎么定义的。要弄清楚并设置好这个过

5、滤条件的设置，得弄清楚TCP/IP 模型中每层协议原理，以及数据包构造中每个比特的意思。上面这是抓得 ARP，在数据链路层来看的，ARP 是上层协议， 在 ethernet 包构造表示的协议类型代码是 0x0806，假设站在网络层来说ARP 协议有时又称为 2.5 层的协议，靠近数据链路层，我们的过滤语法可以这样写：这两个是等价的，抓得都是ARP 包。或许有的朋友这里不太明白，建议去看TCP/IP 协议族TCP/IP 协议详卷等等原来书籍，先理解数据包构造。从这个设置来看，可以看出 wireshark 的过滤抓包多么深入了。现在我简洁讲讲过滤抓包语法以及怎样设置想要的过滤抓包语法(Filter

6、 string 该填写什么东西。组合过滤语法常使用的连接：过滤语法 1 and 过滤语法 2 只有同时满足语法 1 和 2 数据才会被捕获 过滤语法 1 or 过滤语法 2只有满足语法 1 或者 2 任何一个都会被捕获not 过滤语法除该语法外的全部数据包都捕获常用的过滤语法说明：ether host D0:DF:9A:87:57:9E 定义捕获MAC 为 D0:DF:9A:87:57:9E 的数据包，不管这个 MAC 地址是目标MAC 还是源MAC，都捕获这个数据包ether proto 0x0806定义了全部数据包中只要ethernet 协议类型是0x0806 的数据包进展捕获。假设我们用

7、and 来组合这两个语法：ether host D0:DF:9A:87:57:9E and ether proto 0x0806该语法等价于 ether host D0:DF:9A:87:57:9E and arp表示我们只针对 MAC 为 D0:DF:9A:87:57:9E 的 ARP 包进展捕获。arp该语法只捕获全部的arp 数据包ip该语法只捕获数据包中有IP 头部的包。这个语法可以用 ether proto 0x0800，由于ethernet 协议中得 0x0800 表示iphost 192.168.1.1 该语法只捕获IP 头部中只要有 192.168.1.1 这个地址的数据，不管

8、它是源IP 地址还是目标IP 地址。tcp该语法只捕获全部是tcp 的数据包tcp port 23该语法只捕获tcp端口号是23 的数据包，不管源端口还是目标端口。udp该语法只捕获全部是udp 的数据包udp port 53该语法只捕获udp 端口号是23 的数据包，不管源端口还是目标端口。port 68该语法只捕获端口为 68 的数据，不管是TCP 还是UDP，不管该端口号是源端口，还是目标端口。以上是常用的过滤抓包语法，敏捷组合，就可以定位抓包。下面简洁举几个例子。这是个Radius 的过滤抓包，假设不清楚它是 TCP 还是UDP，可以使用语法 port 1645 or port 164

9、6 来定义。这个过滤抓包语法的设置是，IP 地址为 172.16.1.102 的除了TCP 协议不捕获外，其他全部数据都捕获。以上就是过滤抓包的语法简洁说明和介绍，最终如下操作就可抓包了。设置好就点击new，那么过滤抓包的名字就会参加进去，下次只有选择名字就可以直接抓了，点击ok 之后，语法对的话，就会呈现浅绿色，语法不完整或错误就是粉红色，按下start 就可以捕获自己想要的数据包了。接下来，介绍下 wireshark 的过滤查看的数据包，在面对大量数据包，我们怎么快速锁定查找自己想要的数据包。Wireshark 的过滤抓包查看语法深入包的细节了，草草看了至少有上百条语法。要很好的理解和运用

10、这些语法，TCP/IP 协议原理得清楚。有兴趣的朋友可以如以下图深入查看过滤查看使用的语法。下面我只简洁介绍几个常用：eth.addr eq 00:08:d2:00:09:10查找MAC 等于 00:08:d2:00:09:10 的数据包，不过源 MAC 还是目标MACeth.src eq 00:08:d2:00:09:10 查找源MAC 地址为 00:08:d2:00:09:10 的数据包eth.dst eq 00:08:d2:00:09:10 查找源MAC 地址为 00:08:d2:00:09:10 的数据包eth.type eq 0x0806查找ethernet 协议类型为 0x0806

11、ARP 包的数据包ip.addr eq 10.1.1.2查找IP 地址为 10.1.1.2 的数据包tcp.dstport eq 80查找TCP 目标端口为 80 的数据包tcp.srcport eq 80查找TCP 源端口为 80 的数据包udp.srcport eq 53查找UDP 源端口为 53 的数据包udp.dstport eq 53查找UDP 目标端口为 53 的数据包ip.addr eq 10.1.1.2 and udp.srcport eq 53 定位查看IP 地址为 10.1.1.2，UDP 源端口为 53 的数据包。下面是演示图：输入查看语法后，回车，wireshark 查找数据，看数据包的大小打算查找时间，我抓了个 300 多 M 的包，过滤查找想要的包花了 3 分钟。正在查找包过滤查找出了自己想要的包了，使用 wireshark 时，通过准确定位过滤捕获自己想要的包，这样捕获的包比较直观，而且捕获的包又小。回想起自己曾在核心上抓包，大量数据包对笔记本网卡的冲击太大了， 造成笔记本死机，而且在几十万个包里，很难直观看到自己想要的包，对其进展分析，在 这样的大的包使用过滤定位查看，也比较耗时间。有时候需要捕获大量的包分析流量，建 议还是使用sniffer，科来这类更加专业级网络分析软件。