刚了解到一个抓包软件,之前没有接触过的东西,暂时记录一下,还未曾实践。
Wireshark是非常流行的 络封包分析软件,功能十分强大。可以截取各种 络封包,显示 络封包的详细信息。使用Wireshark的人必须了解 络协议,否则就看不懂Wireshark了。
为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。
Wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以Wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用Wireshark。
Wireshark 开始抓包
开始界面
Wireshark 窗口介绍
使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分,搞得晕头转向。
过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
过滤器有两种:
一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录
另一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。 在Capture -> Capture Filters 中设置
保存过滤
在Filter栏上,填好Filter的表达式后,点击Save按钮, 取个名字。比如”Filter 102”,Filter栏上就多了个”Filter 102” 的按钮。
过滤表达式的规则
表达式规则
-
协议过滤
-
IP 过滤
-
端口过滤
-
Http模式过滤
-
逻辑运算符为 AND/ OR
常用的过滤表达式
| 过滤表达式 | 用途 |
| http | 只查看HTTP协议的记录 |
| ip.src ==192.168.1.102 or ip.dst==192.168.1.102 | 源地址或者目标地址是192.168.1.102 |
封包列表(Packet List Pane)
封包列表的面板中显示,编 ,时间戳,源地址,目标地址,协议,长度,以及封包信息。 你可以看到不同的协议用了不同的颜色显示。
你也可以修改这些显示颜色的规则, View ->Coloring Rules.
TCP包的具体内容
从下图可以看到Wireshark捕获到的TCP包中的每个字段。
现在我们用Wireshark实际分析下三次握手的过程。
打开Wireshark,,打开浏览器输入 http://www.cr173.com
在Wireshark中输入http过滤, 然后选中GET /tankxiao HTTP/1.1的那条记录,右键然后点击”Follow TCP Stream”,
这样做的目的是为了得到与浏览器打开 站相关的数据包,将得到如下图
第二次握手的数据包
服务器发回确认包,标志位为 SYN,ACK。将确认序 (Acknowledgement Number)设置为客户的I S N加以1。即0+1=1,。如下图
就这样通过了TCP三次握手,建立了连接。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!