wireshark是非常流行的网络封包分析软件,且是开源的,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。可以运行在Windows和Mac OS上。
过滤命令
- 过滤源ip、目的ip。在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1;
ip.addr == 202.34.12.3
- 端口过滤。如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包;
- 协议过滤比较简单,直接在Filter框中直接输入协议名即可,如过滤HTTP的协议;
- http模式过滤。如过滤get包,http.request.method=="GET",过滤post包,http.request.method=="POST";
- 连接符and的使用。过滤两种条件时,使用and连接,如过滤ip为192.168.101.8并且为http协议的,ip.src==192.168.101.8 and http。
逻辑命令
命令之间可以使用 逻辑操作符 && || !等组合成新的命令。
色彩标识:
进行到这里已经看到报文以绿色,蓝色,黑色显示出来。Wireshark通过颜色让各种流量的报文一目了然。比如默认绿色是TCP报文,深蓝色是DNS,浅蓝是UDP,黑色标识出有问题的TCP报文——比如乱序报文。
Wireshark VS Fiddler
Fiddler是在windows上运行的程序,专门用来捕获HTTP,HTTPS的。
wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容
总结,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark
wireshark与对应的OSI七层模型
001_1.png
参考链接
- wireshark官方下载链接
- Wireshark基本介绍和学习TCP三次握手