526互联

Wireshark

发布时间 2023-04-19 08:30:05作者: KAKSKY

筛选IP地址
ip.addr==10.2.9.4 显示IP源或目的地址字段为10.2.9.4的所有数据
ip.addr!==10.2.9.4 显示IP源或目的地址字段不是10.2.9.4的所有数据
ip.src==10.2.94 显示IP源地址字段为10.2.9.4的所有数据
ip.dst==10.2.94 显示IP目的地址字段为10.2.9.4的所有数据
ip.host==www.baidu.com 显示到达或来自解析 www.baidu.com 网站后的IP地址数据

筛选一个地址范围
ip.src > 10.2.7.2 && ip.src < 10.2.7.5 显示IP源地址是10.2.7.3、10.2.7.4的数据
(ip.src > 10.2.7.2 && ip.src < 10.2.7.5) && !ip.src==10.2.7.3 只显示IP源地址是10.2.7.4的数据

筛选一个网段IP数据
ip.src=10.2.7.0/24 显示IP源地址在10.2.7.0/24网段的数据

筛选协议和端口
tcp 显示所有基于TCP的流量
tcp.port==80 显示所有TCP 80端口的流量
对话过滤器 -> TCP 显示某两个IP间通信单一TCP会话的流量

筛选DHCP数据的常用方法
使用bootp 因为DHCP 的前生是BOOTP

筛选HTTP数据的常用方法
http 筛选所有的HTTP数据
追踪流 -> HTTP流 显示HTTP的请求数据和返回数据

筛选HTTP是POST请求的数据
http.request.method==POST

数据统计可以显示单个IP或两个IP会话间的数据
单个IP端点数据发送或接受的统计:选择 统计 -> 端点
两个IP间会话的统计:选择统计 -> 会话

协议分层统计
选择统计 -> 协议分级

显示带宽的使用情况
选择统计 -> I/O图表

从流量中还原文件
在相对应的数据流中单击右键,选择追踪流 -> TCP流 然后根据文件头信息保存到十六进制编辑器中(WinHex、010Editer)

分割数据
使用 capinfos.exe 工具,使用命令 capinfos.exe <filename> 查看数据包的大小
按照包的大小进行分割
使用 editcap.exe 工具,使用命令 editcap.exe -c 60 <filename> <filename>
按照包的时间进行分割
使用命令 editcap.exe -i <每个文件时长,单位:s> <源文件名> <目的文件>
按照20s一个包分割 editcap.exe -i 20 c:\sql.pcap c:\2\sql.pcap

按照指定序号的包提取
文件 -> 导出特定分组 在range中输入想要提取包的序列号即可

导出特定字段内容
使用 tshark.exe 工具,使用命令 tshark.exe -r c:\sql.pacp -R http -T fields -e frame.number -e ip.src -e ip.dst -e http.request.method 提取http协议的源地址、目的地址、请求方法和对应的帧号

分析http的命令:
http.host==baidu.com 过滤经过指定域名的http数据包,这里的host值不一定是请求中的域名
http.response.code==302 过滤http响应状态码为302的数据包
http.response==1 过滤所有的http响应包
http.request==1 过滤所有的http请求
http.request.method==POST 过滤所有请求方式为POST的HTTP请求包
http.cookie contains guid 过滤含有指定cookie的HTTP数据包
http.request.uri=='/online/admin' 过滤请求的URI,取值是域名后的部分
http.request.full_uri==http://www.baidu.com 过滤含域名的整个URL
http.server contains "nginx" 过滤HTTP头中server字段含有“nginx”字符的数据包
http.content_type=="text/html" 过滤 content_type 是 text/html 的http数据包,即根据文件类型过滤http数据包
http.content_encoding=="gzip" 过滤conten_encoding是“gzip”的http包
http.transfer_encoding 根据transfer_encoding 进行过滤
http.content_length 根据conten_length 的数据进行过滤
http.server 过滤所有http头中含有server字段的数据包
http.request.version=="HTTP/1.1" 过滤HTTP/1.1版本的HTTP包,包括请求包和响应包
http.response.phrase=='OK' 过滤HTTP响应中的phrase描述为“OK”的数据包