Wireshark(前稱Ethereal)是一個(gè)網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是截取網(wǎng)絡(luò)封包,并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark使用WinPCAP作為接口,直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換。
一、安裝wireshark
打開(kāi)終端,輸入安裝命令,在下載完成后需要選擇yes回車同意協(xié)議,然后就會(huì)開(kāi)始安裝,安裝過(guò)程很快。
sudoapt-getinstallwireshark
二、啟動(dòng)wireshark
輸入命令回車,一定要加上sudo,才有管理員權(quán)限。
sudowireshark
啟動(dòng)后界面如下,可以看到是使用Qt開(kāi)發(fā)的界面,頂端從上至下是標(biāo)題欄、菜單欄、工具欄和過(guò)濾欄。下面是選擇接口作為過(guò)濾器,左側(cè)是所有接口名稱,右側(cè)是接口數(shù)據(jù)量大小。
比如我需要從以太網(wǎng)口和其他主機(jī)進(jìn)行網(wǎng)絡(luò)通信,所以選擇enpls0,然后點(diǎn)擊左上角鯊魚(yú)鰭的圖標(biāo),開(kāi)始抓包。
三、使用wireshark
1、下面是抓包一段時(shí)間后的結(jié)果,可以看到有很多UDP、ARP、ICMP協(xié)議的網(wǎng)絡(luò)報(bào)文。
2、我們看到在數(shù)據(jù)列表中不斷地顯示從以太網(wǎng)口抓取到的報(bào)文,列表屬性分別為:
| 編號(hào)| 時(shí)間戳 |源地址|目的地址|協(xié)議|長(zhǎng)度|信息|
3、在數(shù)據(jù)列表區(qū)下面是數(shù)據(jù)詳情區(qū)。在數(shù)據(jù)包列表中選擇任一數(shù)據(jù)包,在數(shù)據(jù)詳情區(qū)中會(huì)顯示數(shù)據(jù)包的所有詳細(xì)信息。數(shù)據(jù)詳情區(qū)是最重要的,用來(lái)查看協(xié)議中的每一個(gè)字段。各行信息分別為:
Frame: 物理層的數(shù)據(jù)幀概況
Ethernet II: 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息
Internet Protocol Version 4: 互聯(lián)網(wǎng)層IP包頭部信息
User Datagram Protocol: 傳輸層的數(shù)據(jù)段頭部信息,此處是UDP
Data: 報(bào)文的數(shù)據(jù)位,展開(kāi)可以看到內(nèi)容
4、緊接著是數(shù)據(jù)字節(jié)區(qū),數(shù)據(jù)字節(jié)區(qū)左側(cè)是1個(gè)字節(jié)1個(gè)字節(jié)地顯示,每個(gè)字節(jié)用2個(gè)16進(jìn)制數(shù)表示。右側(cè)是16進(jìn)制對(duì)應(yīng)的10進(jìn)制數(shù)字對(duì)應(yīng)的ASCLL字符。右下角是數(shù)據(jù)統(tǒng)計(jì)區(qū),表示捕獲到n個(gè)分組,顯示x個(gè)分組,丟棄n-x個(gè)分組。
5、數(shù)據(jù)包列表區(qū)中不同的協(xié)議使用了不同的顏色區(qū)分。協(xié)議顏色標(biāo)識(shí)定位在菜單欄的視圖——>著色規(guī)則。
6、過(guò)濾規(guī)則可以說(shuō)是wireshark的精髓,必須得掌握。在數(shù)據(jù)報(bào)文很多的時(shí)候,或者多機(jī)通信的時(shí)候,你需要用過(guò)濾規(guī)則保留下你需要的報(bào)文。
比較操作符
比較操作符有==等于、!=不等于、>大于、=大于等于、<=小于等于。
協(xié)議類型
直接在Filter框中直接輸入?yún)f(xié)議名即可。注意:協(xié)議名稱需要輸入小寫(xiě)。
tcp,只顯示TCP協(xié)議的數(shù)據(jù)包列表
udp,只顯示UDP協(xié)議的數(shù)據(jù)包列表
http,只查看HTTP協(xié)議的數(shù)據(jù)包列表
ip地址
ip.src ==192.168.1.10,顯示主機(jī)ip地址為192.168.1.10發(fā)送的報(bào)文列表
ip.dst==192.168.1.10,顯示主機(jī)ip地址為192.168.1.10的接收的報(bào)文列表
ip.addr == 192.168.1.10,顯示源ip地址或目標(biāo)ip地址為192.168.1.10的報(bào)文列表
端口號(hào)
udp.port == 9900, 顯示源主機(jī)或者目的主機(jī)端口為9900的報(bào)文列表。
udp.srcport == 9900, 只顯示UDP協(xié)議的源主機(jī)端口為9900的報(bào)文列表。
udp.dstport == 9900,只顯示UDP協(xié)議的目的主機(jī)端口為9900的報(bào)文列表。
組合條件
使用多個(gè)條件進(jìn)行過(guò)濾時(shí),使用and/or/not。
獲取源ip地址為192.168.1.10的udp報(bào)文:ip.src == 192.168.1.10 and udp
獲取目的ip地址為192.168.1.10且port為9900的udp報(bào)文:ip.src == 192.168.1.10 and udp.port == 9900
獲取目的ip地址不是192.168.1.10的且port不是9900的udp報(bào)文:ip.src != 192.168.1.10 and udp.port != 9900
報(bào)文內(nèi)容
如果要以報(bào)文的數(shù)據(jù)位作為篩選條件,可以在數(shù)據(jù)詳情區(qū)選擇Data,然后右擊——>作為過(guò)濾器——>選中即可。
所有工程都離不開(kāi)網(wǎng)絡(luò)通信。
審核編輯:劉清
-
以太網(wǎng)
+關(guān)注
關(guān)注
40文章
5426瀏覽量
171739 -
UDP
+關(guān)注
關(guān)注
0文章
325瀏覽量
33941 -
網(wǎng)絡(luò)通信
+關(guān)注
關(guān)注
4文章
801瀏覽量
29814 -
過(guò)濾器
+關(guān)注
關(guān)注
1文章
429瀏覽量
19614 -
PCAP
+關(guān)注
關(guān)注
0文章
12瀏覽量
12614
原文標(biāo)題:Ubuntu下如何使用wireshark抓包,保姆級(jí)教程
文章出處:【微信號(hào):網(wǎng)絡(luò)技術(shù)干貨圈,微信公眾號(hào):網(wǎng)絡(luò)技術(shù)干貨圈】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論