Wireshark简介
Wireshark(前称 Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是
撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark 使用 WinPCAP
作为接口,直接与网卡进行数据报文交换。
Wireshark基础用法
1、抓包过滤器(用于Wireshark抓包之前的设置)
2、显示过滤器(用于对已经获取的数据包进行过滤分组,起到精确定位关键数据包的作用)
- 过滤IP
ip.addr/ip.dst/ip.src
- 过滤端口
udp.port == 53
tcp.port == 21
udp.dstport == 53
tcp.dstport == 80
- 过滤协议
小写的协议名称http、tcp、dns、whois等等
http协议的过滤:
http.request.method =="GET"
http.request.uri == "/img/text.html"
http contains "内容" 过滤指定字符串
http.host 过滤特定的域名
- 过滤指定长度的数据包
1、先对数据包进行长度排序
2、使用命令frame.len进行过滤
- 过滤漏洞扫描器
- awvs:acunetix
- netsparker:netsparker
- appscan:Appscan
- nessus:nessus
- sqlmap:sqlma
解析HTTPS数据
Wireshark一般无法解析https的加密数据,但也可以使用一些其他方法欺骗浏览器和服务器,但不推荐,针对https的抓包,可以使用Fiddler工具
参考文章
1、https://mp.weixin.qq.com/s/hmuWGcJKNO0vutHlqj6uDg
2、https://www.cnblogs.com/bluemapleleaf/p/17661550.html