wireshark過濾抓包與過濾查看

在分析網(wǎng)絡(luò)數(shù)據(jù)和推斷網(wǎng)絡(luò)故障問題中〔或叫網(wǎng)絡(luò)嗅探器、抓包軟件等等〕這個(gè)“利器”，通過網(wǎng)絡(luò)協(xié)議分析軟件我們可以捕獲網(wǎng)絡(luò)中正常傳輸哪些數(shù)件眾多，比方ethereal〔wireshark的前身),wireshark,omnipeek,sniffer,科來網(wǎng)絡(luò)〔被譽(yù)為國產(chǎn)版sniffer，符合我們的使用習(xí)慣〕等等，本人水平有限，都是初步玩玩而已，先談?wù)剛€(gè)人對這幾款軟件使用感受，wireshark〔ethereal〕在對數(shù)據(jù)包的解碼上，可以的是它們還是免費(fèi)得，但是用wireshark〔ethereal〕來分析大量數(shù)據(jù)包并在大量數(shù)據(jù)包中快速推斷問題所在，比較費(fèi)時(shí)間，不能直觀的反響出來，而且操作較為簡單。像omnipeek,sniffer,科來網(wǎng)絡(luò)這些軟件是專業(yè)級(jí)網(wǎng)絡(luò)分析軟件，不僅僅能解碼〔不過有些解碼還是沒有wireshark專業(yè)進(jìn)展統(tǒng)計(jì)，并生成各種各樣的報(bào)表日志，便于我們查看和分析，能直觀的看到問題所在，但這類軟件是收費(fèi)，假設(shè)想感受這類專業(yè)級(jí)的軟件，我推舉玩科來網(wǎng)絡(luò)技術(shù)溝通版，免50wireshark技巧，說的不好，還請各位多教導(dǎo)批判。wireshark1.7wireshark1.61.7下面是wireshark1.6：〔看不清圖，請點(diǎn)擊放大〕點(diǎn)擊圖中那個(gè)按鈕，進(jìn)入抓包網(wǎng)卡選擇，然后點(diǎn)擊option進(jìn)入抓包條件設(shè)置，就會(huì)翻開如以下圖的對話框點(diǎn)擊CaptureFilter〔法錯(cuò)誤，會(huì)變成粉紅色的框，正確完整的會(huì)變成淺綠色〕，F(xiàn)iltername是過濾條件命名，F(xiàn)ilterstring是過濾的語法定義，設(shè)置好了，點(diǎn)擊new域，下次要用的時(shí)候，直接選者你定義這個(gè)過濾條件名。下面是wireshark1.7界面有所變化，同樣是點(diǎn)擊option進(jìn)入過濾編輯，如以下圖：假設(shè)，左邊的雙擊左邊網(wǎng)卡可以直接進(jìn)入過濾抓包設(shè)置對話框，中間是點(diǎn)擊option后進(jìn)入的對話框，再雙擊網(wǎng)卡進(jìn)入下面的過濾抓包設(shè)置對話框，后面就跟wireshark的1.6版本一樣了。下面聊聊過濾抓包語法，F(xiàn)ilterstringcaptureFilter來已有的怎么定義的。要弄清楚并設(shè)置好這個(gè)過濾條件的設(shè)置，得弄清楚TCP/IP模型中每層協(xié)議原理，以及ARP，在數(shù)據(jù)鏈路層來看的，ARPethernet0x0806，假設(shè)站在網(wǎng)絡(luò)層來說〔ARP2.5〕，我們的過濾語法可以這樣寫：這兩個(gè)是等價(jià)的，抓得都是ARP包?；蛟S有的朋友這里不太明白，建議去看《TCP/IP協(xié)議族》《TCP/IP協(xié)議詳卷》等等原來書籍，先理解數(shù)據(jù)包構(gòu)造。從這個(gè)設(shè)置來看，可以wireshark的過濾抓包多么深入了?，F(xiàn)在我簡潔講講過濾抓包語法以及怎樣設(shè)置想要的過濾抓包語法(Filterstring寫什么東西〕。組合過濾語法常使用的連接：過濾語法1and過濾語法2只有同時(shí)滿足語法1和2數(shù)據(jù)才會(huì)被捕獲過濾語法1or過濾語法2 只有滿足語法1或者2任何一個(gè)都會(huì)被捕獲not過濾語法 除該語法外的全部數(shù)據(jù)包都捕獲常用的過濾語法說明：etherhostD0:DF:9A:87:57:9E定義捕獲MACD0:DF:9A:87:57:9EMACMACMAC，都捕獲這個(gè)數(shù)據(jù)包etherproto0x0806 定義了全部數(shù)據(jù)包中只要ethernet協(xié)議類型是0x0806假設(shè)我們用and來組合這兩個(gè)語法：etherhostD0:DF:9A:87:57:9Eandetherproto0x0806〔etherhostD0:DF:9A:87:57:9Eandarp〕MACD0:DF:9A:87:57:9EARParp 該語法只捕獲全部的arpip 該語法只捕獲數(shù)據(jù)包中有IP〔這個(gè)語法可以用etherproto0x0800，由于ethernet0x0800ip〕host192.168.1.1該語法只捕獲IP192.168.1.1它是源IPIPtcp 該語法只捕獲全部是tcptcpport23 該語法只捕獲tcp端口號(hào)是23udp 該語法只捕獲全部是udpudpport53 該語法只捕獲udp端口號(hào)是23的數(shù)據(jù)包不管源端口還是目標(biāo)端口。port68 該語法只捕獲端口為68的數(shù)據(jù)，不管是TCP還是UDP，不管該端口號(hào)是源端口，還是目標(biāo)端口。以上是常用的過濾抓包語法，敏捷組合，就可以定位抓包。下面簡潔舉幾個(gè)例子。這是個(gè)RadiusTCP還是UDPport1645orport1646來定義。這個(gè)過濾抓包語法的設(shè)置是，IP172.16.1.102的除了TCP協(xié)議不捕獲外，其他全部數(shù)據(jù)都捕獲。以上就是過濾抓包的語法簡潔說明和介紹，最終如下操作就可抓包了。設(shè)置好就點(diǎn)擊new抓了，點(diǎn)擊ok之后，語法對的話，就會(huì)呈現(xiàn)淺綠色，語法不完整或錯(cuò)誤就是粉紅色，按下start就可以捕獲自己想要的數(shù)據(jù)包了。wireshark定查找自己想要的數(shù)據(jù)包。Wireshark的過濾抓包查看語法深入包的細(xì)節(jié)了，草草看了至少有上百條語法。要很好的理解和運(yùn)用這些語法，TCP/IP以如以下圖深入查看過濾查看使用的語法。下面我只簡潔介紹幾個(gè)常用：eth.addreq00:08:d2:00:09:10 查找MAC00:08:d2:00:09:10MACMACeth.srceq00:08:d2:00:09:10查找源MAC地址為00:08:d2:00:09:10的數(shù)據(jù)包eth.dsteq00:08:d2:00:09:10查找源MAC地址為00:08:d2:00:09:10的數(shù)據(jù)包eth.typeeq0x0806 查找ethernet協(xié)議類型為0x0806〔ARP包〕的數(shù)據(jù)包ip.addreq10.1.1.2 查找IP10.1.1.2tcp.dstporteq80 查找TCP80tcp.srcporteq80 查找TCP80udp.srcporteq53 查找UDP53udp.dstporteq53 查找UDP53ip.addreq10.1.1.2andudp.srcporteq53定位查看IP10.1.1.2，UDP53下面是演示圖：輸入查看語法后，回車，wireshark查找數(shù)據(jù)，看數(shù)據(jù)包的大小打算查找時(shí)間，我抓了300M3正在查找包過濾查找出了自己想要的包了，使用wireshark且捕獲的包又小?；叵?/p>