1.筛选器
ip.addr==192.168.88.160 and tcp.port==80
!tcp 查看分tcp的协议
frame.len<=150 查看长度小于等于150字节的数据包
捕获tcp中带有psh和ack标志偏移位为13的的数据包
tcp[13]==0x18
将常用筛选条件到添加删选器
分析–》显示过滤器–》+添加
2.wireshark 使用表格
3.wireshark 图形显示
统计—》IO 图表
主要用来查看大流量的趋势,比如大文件下载
设置显示的筛选条件
显示丢失、重发等异常数据包&&不显示窗口的更新数据包
tcp.analysis.flags && !tcp.analysis.window_update
统计–》tcp–》往返时间图
数据流图
查看整个交互过程
统计–》数据流图
4.wireshark 高级特性
wireshark 基于端口进行协议解析
加入我们修改ftp服务器的端口为443,则wireshark就会将ftp协议的流量当做ssl协议流量。
转换协议
单击数据包,右键选择”解码为”,更改解码类型。
追踪TCP流
右键数据包,选择follow stream(追踪流),选择TCP流。
查看数据包长度
统计–》分组长度
我们重点关注1280—2559长度的数据包
专家信息的使用
查看数据传输的一些警告信息
分析–》专家信息
5.wireshark 命令行模式
tshark 是wireshark的命令行工具
tshark -r /root/tcp.pcap | grep -e GET 从tcp.pcap包中查找所有的GET请求
tshark -r /root/tcp.pcap |grep -e GET | cut -d ” ” -f 8-9
使用capinfos 查看cap包基本信息
capinfos /root/tcp.pcap
tshark -n -q -r /root/tcp.pcap -z “rpc,programs”
-n 禁止所有名字地址解析
-q 设置为标准的输出
-z 设置统计参数
tshark -n -q -r /root/tcp.pcap -z “smb,srt”
tshark -r /root/tcp.pcap -Y “ip.addr==192.168.88.160” -w 160.pcap
显示所有tcp会话信息
tshark -n -q -r /root/tcp.pcap -z “conv,tcp”
数据包拆分
editcap tcp.pcap output.pcap -i 4 将数据包以每4秒进行拆分
合并数据包
mergecap -w he.pcap output*.pcap