量子哈希过滤地址
ip.addr==192.168.1.136 或 ip.addr eq 192.168.10.10 #过滤地址
ip.src==192.168.1.136 #过滤源地址
ip.dst==192.168.1.136 #过滤目的地址
过滤协议,直接输入协议名
icmp
http
过滤协议和端口
tcp.port==80
tcp.srcport==80
tcp.dstport==80
过滤http协议的请求方式
http.request.method=="GET"
http.request.method=="POST"
http.request.uri contains admin #url中包含admin的
http.request.code==404 #http请求状态码的
连接符
&&
||
and
or
通过连接符可以把上面的命令连接在一起,比如:
ip.src==192.168.1.136 and http.request.method=="POST"-
Wireshark简介
Wireshark是一款网络封包分析软件,用于撷取网络封包并显示详细的网络封包资料。它使用WinPCAP作为接口,直接与网卡进行数据报文交换。Wireshark是一款功能强大的抓包软件,广泛应用于各个行业,并且是开源免费的。您可以在wireshark官网找到更多相关信息。 -
基础使用总结
首先,进入Wireshark的界面,选择要抓取的接口网卡。例如,如果您使用的是笔记本的WiFi连接,就选择WLAN网卡。进入界面后,Wireshark会开始捕获数据包。
界面功能分析:
- 开始、暂停和重新抓取按钮:用于控制捕获过程。
- 另存为:将本次捕获的所有数据包保存为本地文件,只能通过Wireshark打开。
- 过滤框:输入正确的过滤语法,可以从海量的包中分析出感兴趣的包。
- 当前捕获的包:显示当前捕获的包,右侧有预览条方便查看。可以调整捕获的时间和顺序,也可以增加分类类别。
- 包属性匹配值:显示当前包的一些属性的匹配值。
- 源hex文件:显示当前包的源hex文件,可以用于反编译数据。
- 查看全部数据流:右键点击可以选择查看格式。
- 专家信息:显示红色和绿色的包条,代表未成功发送的包。
- 解析后的地址:查看解析后的各种地址。
- 协议分级:查看抓到的所有包的协议分级。
-
抓取一个ping的ICMP包
首先,重新启动Wireshark并清空记录,然后打开命令提示符窗口。开始抓包后,执行ping命令。完成ping后,暂停抓包,并在筛选栏中输入”ICMP”。您将看到四次ping请求和四次ping响应,总共八个包。可以查看这些包以获取详细信息。 -
综合抓取PC端应用程序包
假设我们要播放一首本地没有缓存的在线音乐,我们需要从服务器端接收数据,然后在本地进行渲染才能播放。首先,我们需要知道网易云音乐这个应用程序的进程号。
