wireshark 捕获http协议_wireshark使用和一些用法

大家好，很久没跟新了，不知道，跟新什么，之前我群是设置5元加群，然后有些人加群了，现在准备人多点，送礼物，随机的，人人都有可能，刚看下红包收到15元，谢谢大家。

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

在过去，网络封包分析软件是非常昂贵的，或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。

1.介绍：wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。

wireshark是开源软件，可以放心使用。 可以运行在Windows和Mac OS上。

2.开始抓包

2.1选择网卡

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。、

点击Caputre->Interfaces… 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包。

2.2窗口介绍

WireShark 主要分为这几个界面:

a. Display Filter(显示过滤器): 用于过滤

b. Packet List Pane(封包列表): 显示捕获到的封包， 有源地址和目标地址，端口号。

c. Packet Details Pane(封包详细信息): 显示封包中的字段

d. Dissector Pane(16进制数据)

e. Miscellanous(地址栏，杂项)

2.3 Wireshark 显示过滤

使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向，过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种：

显示过滤器：就是主界面上那个，用来在捕获的记录中找到所需要的记录

捕获过滤器：用来过滤捕获的封包，以免捕获太多的记录。 在Capture -> Capture Filters 中设置。

捕捉过滤器在抓抱前进行设置，决定抓取怎样的数据；显示过滤器用于过滤抓包数据，方便stream的追踪和排查。

捕捉过滤器仅支持协议过滤，显示过滤器既支持协议过滤也支持内容过滤。

两种过滤器它们支持的过滤语法并不一样。

2.3 过滤表达式规则

2.3.1 捕获过滤器–捕捉前依据协议的相关信息进行过滤设置

示例：
(host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8
捕捉IP为10.4.1.12或者源IP位于网络10.6.0.0/16，目的IP的TCP端口号在200至10000之间，并且目的IP位于网络 10.0.0.0/8内的所有封包。

字段详解：

Protocol（协议）:可能值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.

如果没指明协议类型，则默认为捕捉所有支持的协议。

注：在wireshark的HELP-Manual Pages-Wireshark Filter中查到其支持的协议。

Direction（方向）:

可能值:

src, dst, src and dst, src or dst

如果没指明方向，则默认使用“src or dst”作为关键字。

”host 10.2.2.2″与”src or dst host 10.2.2.2″等价。

Host(s):可能值：

net, port, host, portrange.

默认使用”host”关键字，”src 10.1.1.1″与”src host 10.1.1.1″等价。

Logical Operations（逻辑运算）:

可能值：

not, and, or.

否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至右进行。

“not tcp port 3128 and tcp port 23″与”(not tcp port 3128) and tcp port 23″等价。

“not tcp port 3128 and tcp port 23″与”not (tcp port 3128 and tcp port 23)”不等价。

2.3.2 显示过滤器–对捕捉到的数据包依据协议或包的内容进行过滤

协议过滤语法：

string1和string2是可选的。

依据协议过滤时，可直接通过协议来进行过滤，也能依据协议的属性值进行过滤。

按协议进行过滤：snmp || dns || icmp 显示SNMP或DNS或ICMP封包。

按协议的属性值进行过滤：

ip.addr == 10.1.1.1

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

ip.src == 10.230.0.0/16 显示来自10.230网段的封包。

tcp.port == 25 显示来源或目的TCP端口号为25的封包。

tcp.dstport == 25 显示目的TCP端口号为25的封包。

http.request.method== "POST" 显示post请求方式的http封包。

http.host == "一听蓝皮统计系统" 显示请求的域名为tracker.1ting.com的http封包。

tcp.flags.syn == 0×02 显示包含TCP SYN标志的封包。

内容过滤语法

a. 深度字符串匹配

contains ：Does the protocol, field or slice contain a value

示例

tcp contains "http" 显示payload中包含"http"字符串的tcp封包。

http.request.uri contains "online" 显示请求的uri包含"online"的http封包。

b. 特定偏移处值的过滤

tcp[20:3] == 47:45:54 /* 16进制形式，tcp头部一般是20字节，所以这个是对payload的前三个字节进行过滤 */

http.host[0:4] == "trac"

过滤中函数的使用（upper、lower）

upper(string-field) - converts a string field to uppercase

lower(string-field) - converts a string field to lowercase

示例

upper(http.request.uri) contains "ONLINE"

wireshark过滤支持比较运算符、逻辑运算符，内容过滤时还能使用位运算。

如果过滤器的语法是正确的，表达式的背景呈绿色。如果呈红色，说明表达式有误。

这期我也是断了很久，不好意思，然后为了回报大家，新人加群的话，等满50元到时候你们群里说送什么，我们群里讨论下，用随机的代码，到时候看怎么随机抽个奖发在知乎，把你们加群的钱给你们送礼物了，群现在改成付费入群望见谅，群的二维码在下面。

https://qm.qq.com/cgi-bin/qm/qr?k=zSuuIY4S0zU_W_PDKXvUb_Kqira6jdSC&authKey=Fq03jqXw8onV2uR3HT6Cg4ikDl0YmVLS60CeDROyWfrCV2FwxjRQdFsn+tDLWgL8 (二维码自动识别)