Wireshark這個轉包工具的簡單實用
(01)Wireshark是世界上最流行的網絡分析工具。這個強大的工具可以捕捉網絡中的數據,併為用户提供關於網絡和上層協議的各種信息。與很多其他網絡工具一樣,Wireshark也使用pcapnetwork library來進行封包捕捉。可破解局域網內QQ、郵箱、msn、賬號等的密碼!! wireshark的原名是Ethereal,新名字是2006年起用的。當時Ethereal的主要開發者決定離開他原來供職的公司,並繼續開發這個軟件。但由於Ethereal這個名稱的使用權已經被原來那個公司註冊,Wireshark這個新名字也就應運而生了。在成功運行Wireshark之後,我們就可以進入下一步,更進一步瞭解這個強大的工具。下面是一張地址為的計算機正在訪問“”網站時的截圖。
(02)1. MENUS(菜單)
(03)2. SHORTCUTS(快捷方式)
(04)3. DISPLAYFILTER(顯示過濾器)
(05)4. PACKET LISTPANE(封包列表)
(06)5. PACKET DETAILSPANE(封包詳細信息)
(07)6. DISSECTOR PANE(16進制數據)
(08)7. MISCELLANOUS(雜項)
(09)1. 捕捉過濾器捕捉過濾器的語法與其它使用Lipcap(Linux)或者Winpcap(Windows)庫開發的軟件一樣,比如著名的TCPdump。捕捉過濾器必須在開始捕捉前設置完畢,這一點跟顯示過濾器是不同的。設置捕捉過濾器的步驟是:- 選擇 capture -> options。- 填寫"capture filter"欄或者點擊"capturefilter"按鈕為您的過濾器起一個名字並保存,以便在今後的捕捉中繼續使用這個過濾器。- 點擊開始(Start)進行捕捉。
(10)語法:ProtocolDirectionHost(s)ValueLogical OperationsOther expression例子:andtcp dst 3128Protocol(協議):可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl,tcp and udp.如果沒有特別指明是什麼協議,則默認使用所有支持的協議。Direction(方向):可能的值: src, dst, src and dst, src or dst如果沒有特別指明來源或目的地,則默認使用 "src or dst" 作為關鍵字。例如,"host "與"src or dst host "是一樣的。Host(s):可能的值: net, port, host, portrange.如果沒有指定此值,則默認使用"host"關鍵字。例如,"src "與"src host "相同。 LogicalOperations(邏輯運算):可能的值:not, and, or.否("not")具有最高的優先級。或("or")和與("and")具有相同的優先級,運算時從左至右進行。例如,"not tcp port 3128 and tcp port 23"與"(not tcp port 3128) and tcpport 23"相同。"not tcp port 3128 and tcp port 23"與"not (tcp port 3128 and tcpport 23)"不同。
(11)例子:tcp dst port 3128顯示目的TCP端口為3128的封包。ip src host 顯示來源IP地址為的封包。host 顯示目的或來源IP地址為的封包。src portrange 2000-2500顯示來源為UDP或TCP,並且端口號在2000至2500範圍內的封包。not imcp顯示除了icmp以外的所有封包。(icmp通常被ping工具使用)src host and not dst net 顯示來源IP地址為,但目的地不是的封包。(src host or src net ) and tcp dstportrange 200-10000 and dst net 顯示來源IP為或者來源網絡為,目的地TCP端口號在200至10000之間,並且目的位於網絡內的所有封包。
(12)注意事項:當使用關鍵字作為值時,需使用反斜槓“”。"ether proto ip" (與關鍵字"ip"相同).這樣寫將會以IP協議作為目標。"ip proto icmp" (與關鍵字"icmp"相同).這樣寫將會以ping工具常用的icmp作為目標。可以在"ip"或"ether"後面使用"multicast"及"broadcast"關鍵字。當您想排除廣播請求時,"no broadcast"就會非常有用。查看 TCPdump的主頁以獲得更詳細的捕捉過濾器語法説明。在Wiki Wireshark website上可以找到更多捕捉過濾器的例子。
(13)2. 顯示過濾器:通常經過捕捉過濾器過濾後的數據還是很複雜。此時您可以使用顯示過濾器進行更加細緻的查找。它的功能比捕捉過濾器更為強大,而且在您想修改過濾器條件時,並不需要重新捕捉一次。語法:ng ng 2ComparisonoperatorValueLogicalOperationsOtherexpression例子:ftppassiveip==Protocol(協議):您可以使用大量位於OSI模型第2至7層的協議。點擊"Expression..."按鈕後,您可以看到它們。比如:IP,TCP,DNS,SSH
(14)您同樣可以在如下所示位置找到所支持的協議:
(15)Wireshark的網站提供了對各種 協議以及它們子類的説明。 String1,String2 (可選項):協議的子類。點擊相關父類旁的"+"號,然後選擇其子類。
(16)Comparisonoperators (比較運算符):
(17)例子