【實用技巧】wireshark過濾抓包與過濾查看

1、在分析網(wǎng)絡數(shù)據(jù)和判斷網(wǎng)絡故障問題中，都離不開網(wǎng)絡協(xié)議分析軟件（或叫網(wǎng)絡嗅探器、抓包軟件等等）這個“利器”，通過網(wǎng)絡協(xié)議分析軟件我們可以捕獲網(wǎng)絡中正常傳輸哪些數(shù)據(jù)包，通過分析這些數(shù)據(jù)包，我們就可以準確地判斷網(wǎng)絡故障環(huán)節(jié)出在哪。網(wǎng)絡協(xié)議分析軟件眾多，比如ethereal（wireshark的前身）,wireshark,omnipeek,sniffer,科來網(wǎng)絡分析儀（被譽為國產(chǎn)版sniffer,符合我們的使用習慣）等等，本人水平有限，都是初步玩玩而已，先談談個人對這幾款軟件使用感受，wireshark（ethereal）在對數(shù)據(jù)包的解碼上，可以說是相當?shù)膶I(yè)，能夠深入到協(xié)議的細節(jié)上，用它們來對數(shù)據(jù)

2、包深入分析相當不錯，更重要的是它們還是免費得，但是用wireshark（ethereal）來分析大量數(shù)據(jù)包并在大量數(shù)據(jù)包中快速判斷問題所在，比較費時間，不能直觀的反應出來，而且操作較為復雜。像omnipeek,sniffer,科來網(wǎng)絡分析儀這些軟件是專業(yè)級網(wǎng)絡分析軟件，不僅僅能解碼（不過有些解碼還是沒有wireshark專業(yè)），還能直觀形象的反應出數(shù)據(jù)情況，這些軟件會對數(shù)據(jù)包進行統(tǒng)計，并生成各種各樣的報表日志，便于我們查看和分析，能直觀的看到問題所在，但這類軟件是收費，如果想感受這類專業(yè)級的軟件，我推薦玩科來網(wǎng)絡分析儀技術交流版，免費注冊激活，但是只能對50個點進行分析。廢話不多說，下面介紹幾

3、個wireshark使用小技巧，說的不好，還請各位多指點批評。目前wireshark最新版本是1.7的，先簡單對比下wireshark的1.6和1.7版本。下面是wireshark的1.6版本的界面圖：（看不清圖，請點擊放大）點擊圖中那個按鈕，進入抓包網(wǎng)卡選擇，然后點擊option進入抓包條件設置，就會打開如下圖的對話框ME:一，1，6飛E尸所&*-.gM1irXsk,2J卜.""】El0-F-fSttHVi1a*1#：rv2才.3mIl'JjrwT-jiHiSWW>-|IE廣Cqi.v«iKfcriinkbEehIL1上L.+4p-bcsi

4、L<»匚£士工士丸L!1Til”*Cilni加,彳啕nII*醇，電出？王建?rr3WPDF«rW$4TtmmripniovujI.wvJ4«HB31*4»1wZJ"pI、出IX3m.生Fftvnm.|FAwiAtqPi如果想抓無線網(wǎng)卡的數(shù)據(jù)吧，就把圖中那個勾去掉，不然會報錯。點擊CaptureFilter進入過濾抓包設置（也可以在這個按鈕旁邊，那個白色框直接寫過濾語法，語法不完成或無法錯誤，會變成粉紅色的框，正確完整的會變成淺綠色），F(xiàn)iltername是過濾條件命名，F(xiàn)ilterstring是過濾的語法定義，設置好了，點擊ne

5、w會把你設置好的加入到過濾條件區(qū)域，下次要用的時候，直接選者你定義這個過濾條件名。卜面是wireshark的1.7版本的界面圖:界面有所變化，同樣是點擊option進入過濾編輯，如下圖:*aay!nMM<.CTIMrM-4kE*®7Ta,F-fSTF3-"p""1iiHfrfTIrfilkrtfirVi1JF4pa-4|dr,.KThtVIkltlja砒理飛亡餐走右？L14a上IrhAw-fiM-tUtl-U.ri«!"ft-TFRiflI*rf+E修3a=*«IH:Jhapnfra4Irrwa，+,nMB,-l

6、9;ta>Till一酊帽,舊事如果，左邊的雙擊左邊網(wǎng)卡可以直接進入過濾抓包設置對話框，中間是點擊option后進入的對話框，再雙擊網(wǎng)卡進入下面的過濾抓包設置對話框，后面就跟wireshark的1.6版本一樣了。卜面聊聊過濾抓包語法,Filterstring中怎么寫語法。大家可以看看captureFilter原來已有的怎么定義的。要弄清楚并設置好這個過濾條件的設置，得弄清楚TCP/IP模型中每層協(xié)議原理，以及數(shù)據(jù)包結構中每個比特的意思。上面這是抓得ARP在數(shù)據(jù)鏈路層來看的，AR幅上層協(xié)議，在ethernet包結構表示的協(xié)議類型代碼是0x0806,如果站在網(wǎng)絡層來說（ARP協(xié)議有時又稱為2.

7、5層的協(xié)議，靠近數(shù)據(jù)鏈路層），我們的過濾語法可以這樣寫：這兩個是等價的，抓得都是ARP包?；蛟S有的朋友這里不太明白，建議去看TCP/IP協(xié)議族TCP/IP協(xié)議詳卷等等原來書籍，先理解數(shù)據(jù)包結構。從這個設置來看，可以看出wireshark的過濾抓包多么深入了?，F(xiàn)在我簡單講講過濾抓包語法以及怎樣設置想要的過濾抓包語法（Filterstring該填寫什么東西）。組合過濾語法常使用的連接:過濾語法1and過濾語法2只有同時滿足語法1和2數(shù)據(jù)才會被捕獲過濾語法1or過濾語法2只有滿足語法1或者2任何一個都會被捕獲not過濾語法除該語法外的所有數(shù)據(jù)包都捕獲常用的過濾語法說明:etherhostD0:DF:

8、9A:87:57:9E定義才t獲MA8D0:DF:9A:87:57:9E的數(shù)據(jù)包，不管這個MACM址是目標MAC®是源MAC都捕獲這個數(shù)據(jù)包etherproto0x0806定義了所有數(shù)據(jù)包中只要ethernet協(xié)議類型是0x0806的數(shù)據(jù)包進行捕獲。如果我們用and來組合這兩個語法:etherhostD0:DF:9A:87:57:9Eandetherproto0x0806(該語法等價于etherhostD0:DF:9A:87:57:9Eandarp)表示我們只針對MA8D0:DF:9A:87:57:9E的ARP包進行捕獲。arp該語法只捕獲所有的arp數(shù)據(jù)包ip該語法只捕獲數(shù)據(jù)包中有

9、IP頭部的包。（這個語法可以用etherproto0x0800,因為ethernet協(xié)議中得0x0800表示ip)host192.168.1.1該語法只捕獲IP頭部中只要有192.168.1.1這個地址的數(shù)據(jù)，不管它是源IP地址還是目標IP地址。tcp該語法只捕獲所有是tcp的數(shù)據(jù)包tcpport23該語法只捕獲tcp端口號是23的數(shù)據(jù)包，不管源端口還是目標端口。udp該語法只捕獲所有是udp的數(shù)據(jù)包udpport53該語法只捕獲udp端口號是23的數(shù)據(jù)包，不管源端口還是目標端口。port68該語法只捕獲端口為68的數(shù)據(jù)，不管是TCP還是UDP不管該端口號是源端口，還是目標端口。以上是常用的過

10、濾抓包語法，靈活組合，就可以定位抓包。下面簡單舉幾個例子。這是個Radius的過濾抓包，如果不清楚它是TCP還是UDP,可以使用語法port1645orport1646來定義。Filtername:nqh-kffronTnFliTi.io?Fitsrstring;nattcpand172.1&.1,1102這個過濾抓包語法的設置是，IP地址為172.16.1.102的除了TCP協(xié)議不捕獲外，其他所有數(shù)據(jù)都捕獲。以上就是過濾抓包的語法簡單說明和介紹，最后如下操作就可抓包了。GWtUWpw：urtghMtorm;itUrMtsjf_*話4t*丁聲ip-UKHIfa|hr*=B4-H.，rU

11、MEHrf1時件,1laC-jblfBtEijnaf.FiUar|1617Mfr-|JL膈r«i,Lfaph-ifalwi.J7MjlHhut4fPi4r«i口i-Jack，F(xiàn)!.ordax：HWWfcTrtWnP5.用|bMaEnillwri-lvM'h.?V«MW1gdnCtUTR-用9TMQMi'Af：,Ihfa*7KZM“F«*r3tdl=l可3XL6m11HHhcrzwfktff"£em9Tf!4>1於r#p«htto*設置好就點擊new,那么過濾抓包的名字就會加入進去，下次只有選擇名字就可以

12、直接抓了，點擊ok之后，語法對的話，就會呈現(xiàn)淺綠色，語法不完整或錯誤就是粉紅色，按下start就可以捕獲自己想要的數(shù)據(jù)包了。接下來，介紹下wireshark的過濾查看的數(shù)據(jù)包，在面對大量數(shù)據(jù)包，我們怎么快速鎖定查找自己想要的數(shù)據(jù)包。Wireshark的過濾抓包查看語法深入包的細節(jié)了，草草看了至少有上百條語法。要很好的理解和運用這些語法，TCP/IP協(xié)議原理得清楚。有興趣的朋友可以如下圖深入查看過濾查看使用的語法。卜面我只簡單介紹幾個常用:eth.addreq00:08:d2:00:09:10查找MA%于00:08:d2:00:09:10的數(shù)據(jù)包，不過源MAC®是目標MACeth.sr

13、ceq00:08:d2:00:09:10eth.dsteq00:08:d2:00:09:10查找源MACM址為00:08:d2:00:09:10的數(shù)據(jù)包查找源MACM址為00:08:d2:00:09:10的數(shù)據(jù)包據(jù)包eth.typeeq0x0806查找ethernet協(xié)議類型為0x0806（ARP包）的數(shù)ip.addreq10.1.1.2查找IP地址為10.1.1.2的數(shù)據(jù)包tcp.dstporteq80tcp.srcporteq80udp.srcporteq53udp.dstporteq53查找TCP目標端口為80的數(shù)據(jù)包查找TCP源端口為80的數(shù)據(jù)包查找UDPW端口為53的數(shù)據(jù)包查找UDP

14、目標端口為53的數(shù)據(jù)包ip.addreq10.1.1.2andudp.srcporteq53定位查看IP地址為10.1.1.2,UDP源端口為53的數(shù)據(jù)包。卜面是演示圖:輸入查看語法后，回車，wireshark查找數(shù)據(jù)，看數(shù)據(jù)包的大小決定查找時間，我抓了個300多M的包，過濾查找想要的包花了3分鐘。正在查找包i-BE/s2，收51KLW*mE,*TAJflSP4QflHSPr>R-mv11Ji.MMQeiU2.B7.W.SKI*5mk#.34rHiU?I*bM廠Lk通»,S5i*事wt*iw.igu.jw5亂岫皿U1工尊工41.1證m.Ll.OFr牛的1聃HEFNC>.i

15、XI44QQ-.MIMTE?-.aSM-fl-.lLlT544.WKL*射曲£kfM1n卜/i.m.&k-舊；Li.ai.J摺Hl*Mi*:rHla鎮(zhèn)嘉警lil:.:.'.-：ll:ll.(!,.Ml_七九JMSirlPMih:JW1I，乜EM”電MN.的”(*CKMl*ALnn*W-*，4*-«*-1-.FIXr*Qi；M««X97L4«MghOt，*0i|4|l4/7財1wItJIFA««w*,-：1*>厘WbM：£3jJ>15巨陰zUH山>»8MllIIi-HVfl

16、iTa看;:津1Nh<4Vl«L1"-H，Wi；vjV-FU*CTfr1M«*W44*.):.H-FCMhlK3QqlfaiJlbgt*FiJ"：h用，h±4SUA如二"h<dfl'he-j+=2-*口；.Mr#rBj1L上廣，J&3V-JiHJI1f牛|Hwv|MTfimfiKfejf鵬SF1|AfitMkMiWEET、-Hflk>CWL尸“i*I作舛bid：Mtyre<0、<.fI.sgi：嶗af.hrrEI露:E:ID卜WILK:k二,為用；.4.fn£:j?a±3l:WC：«=»:dZ:S-LiH-V:5： !iF¥*ww*1L<*<.11Ml甘5JU門6絹上；外 MTZUfSTJVIVEMm.weKTT：A£IM|><arKrdIHJ,HEPWC：£4tU>>CCnM函l，M，jit7中可川野，*b產(chǎn)始外MXf，_.,rwiTi-,«LL；029RWNLL：'!"舸也皿，：9U伊二二44Fl14-9L4-TA!M?»*、