wireshark使用

本文内容主要来自How I use Wireshark

wireshark是闻名已久的开源网络协议分析工具(抓包工具)。本文简单介绍wireshark的常用“食用”方法。

安装wireshark

Mac: sudo apt install wireshark
Windows: 推荐使用scoop方式
scoop install wireshark
命令行wireshark打开wireshark。

使用wireshark分析pcap包

分析生成好的pcap

首先在linux服务器上用tcpdump生成一个pcap

sudo tcpdump port 443 -w output.pcap

下载到本地

scp host:~/output.pcap .

或者直接ssh到远程服务器抓包(scoop安装方式才有)

capture/options菜单,可看到ssh remote capture,选择此项可设置ssh登陆远程主机来抓包.

使用wireshark打开pcap文件

wireshark output.pcap

查看一个连接

对于一个TCP包,可以通过右键“Conversation filter” -> “TCP”过滤出同一个连接的其他包

Decode as提示wiresharp解析为协议

右键一个包,decode as可提示wireshark将此包解析为指定的协议

请求头详情视图

字节码详情试图

分析查询

最重要的还是查询功能 举例

  • frame contains "mozilla" – 包中包含字符串“mozilla”
  • tcp.port == 443 – tcp协议端口号是 443的
  • dns.resp.len > 0 – 所有DNS返回
  • ip.addr == 52.7.23.87 – 源地址或目标地址IP为52.7.23.87

统计时常

菜单 ‘Statistics’ > ‘Conversations’
如下图
点击duration列则依据duration排序

PS:

依据原文暂且只写这些,感觉也没写什么东西。


Total views.

© 2013 - 2018. All rights reserved.

Powered by Hydejack v6.6.1