wireshark是非常流行的網(wǎng)絡(luò)封包分析軟件匪凡,且是開源的,功能十分強大掘猿〔∮危可以截取各種網(wǎng)絡(luò)封包,顯示網(wǎng)絡(luò)封包的詳細信息〕某模可以運行在Windows和Mac OS上买猖。
過濾命令
- 過濾源ip、目的ip滋尉。在wireshark的過濾規(guī)則框Filter中輸入過濾條件玉控。如查找目的地址為192.168.101.8的包,ip.dst==192.168.101.8狮惜;查找源地址為ip.src==1.1.1.1高诺;
ip.addr == 202.34.12.3 - 端口過濾。如過濾80端口碾篡,在Filter中輸入虱而,tcp.port==80,這條規(guī)則是把源端口和目的端口為80的都過濾出來开泽。使用tcp.dstport==80只過濾目的端口為80的牡拇,tcp.srcport==80只過濾源端口為80的包;
- 協(xié)議過濾比較簡單穆律,直接在Filter框中直接輸入?yún)f(xié)議名即可惠呼,如過濾HTTP的協(xié)議;
- http模式過濾峦耘。如過濾get包剔蹋,http.request.method=="GET",過濾post包,http.request.method=="POST"贡歧;
- 連接符and的使用滩租。過濾兩種條件時,使用and連接利朵,如過濾ip為192.168.101.8并且為http協(xié)議的,ip.src==192.168.101.8 and http猎莲。
邏輯命令
命令之間可以使用 邏輯操作符 && || 绍弟!等組合成新的命令。
色彩標識:
進行到這里已經(jīng)看到報文以綠色著洼,藍色樟遣,黑色顯示出來。Wireshark通過顏色讓各種流量的報文一目了然身笤。比如默認綠色是TCP報文豹悬,深藍色是DNS,淺藍是UDP液荸,黑色標識出有問題的TCP報文——比如亂序報文瞻佛。
Wireshark VS Fiddler
Fiddler是在windows上運行的程序,專門用來捕獲HTTP,HTTPS的伤柄。
wireshark能獲取HTTP绊困,也能獲取HTTPS,但是不能解密HTTPS适刀,所以wireshark看不懂HTTPS中的內(nèi)容
總結(jié)秤朗,如果是處理HTTP,HTTPS 還是用Fiddler, 其他協(xié)議比如TCP,UDP 就用wireshark
wireshark與對應(yīng)的OSI七層模型
001_1.png
