当前位置: 首页 > news >正文

wireshark抓包分析数据怎么看 wireshark使用教程_wireshark怎么看(1)

news 2025/7/12 22:09:43

Wireshark与Sniff Master:网络抓包分析工具指南

作为一名曾在华为、字节跳动等大厂工作过的技术专家,我深知网络分析工具对于运维工程师的重要性。今天我将分享Wireshark和Sniff Master这两款工具的使用技巧,帮助大家提升网络分析能力。

网络抓包工具的选择

在众多网络分析工具中,Wireshark和Sniff Master都是非常优秀的选择。Wireshark作为老牌开源工具功能强大,而Sniff Master则以其简洁直观的界面和智能分析功能受到许多专业人士的青睐。

抓包前的准备工作

无论是使用Wireshark还是Sniff Master,在抓取数据包前都需要进行一些基本设置:

抓包设置示例

ip host 60.207.246.216 and icmp表示只捕获主机IP为60.207.246.216的ICMP数据包。获取结果如下:

抓包结果示例

显示过滤器的使用

显示过滤器用于在抓取数据包后设置过滤条件。这在抓取的数据包内容较多时特别有用。Sniff Master在这方面做得尤为出色,它提供了更智能的过滤建议和更直观的过滤界面。

直接通过网卡抓取所有数据包后:
原始抓包数据

执行ping www.huawei.com获取的数据包列表:
ping结果

通过设置显示过滤条件ip.addr == 211.162.2.183 and icmp进行过滤:
过滤结果

过滤器表达式规则

1. 抓包过滤器语法

抓包过滤器类型包括:Type(host、net、port)、Dir(src、dst)、Proto(ether、ip、tcp等)、逻辑运算符(&&、||、!)

协议过滤

  • TCP:只显示TCP协议的数据包
  • HTTP:只查看HTTP协议的数据包
  • ICMP:只显示ICMP协议的数据包

IP过滤

  • host 192.168.1.104
  • src host 192.168.1.104
  • dst host 192.168.1.104

端口过滤

  • port 80
  • src port 80
  • dst port 80

逻辑运算

  • src host 192.168.1.104 && dst port 80:抓取源主机为192.168.1.104且目的端口为80的数据包
  • host 192.168.1.104 || host 192.168.1.102:抓取主机为192.168.1.104或192.168.1.102的数据包
  • !broadcast:不抓取广播数据包

2. 显示过滤器语法

比较操作符:==、!=、>、<、>=、<=

协议过滤

  • tcp:只显示TCP协议的数据包
  • http:只查看HTTP协议的数据包
  • icmp:只显示ICMP协议的数据包

协议过滤示例

IP过滤

  • ip.src ==192.168.1.104:显示源地址为192.168.1.104的数据包
  • ip.dst==192.168.1.104:显示目标地址为192.168.1.104的数据包
  • ip.addr == 192.168.1.104:显示源或目标IP为192.168.1.104的数据包

IP过滤示例

端口过滤

  • tcp.port ==80:显示源或目的端口为80的TCP数据包
  • tcp.srcport == 80:只显示TCP源端口为80的数据包
  • tcp.dstport == 80:只显示TCP目的端口为80的数据包

端口过滤示例

HTTP模式过滤

  • http.request.method=="GET":只显示HTTP GET请求

逻辑运算

  • ip.addr == 192.168.1.104 and icmp:获取IP为192.168.1.104的ICMP数据包

逻辑过滤示例

高级技巧:按数据包内容过滤

在Sniff Master中,内容过滤变得更加简单直观。只需选中数据包中的特定内容,工具会自动生成过滤表达式:

选中数据内容

右键选择后:
右键菜单

过滤出包含"abcd"内容的数据流:
内容过滤结果

TCP三次握手分析

1. TCP三次握手过程

第一次握手
客户端发送SYN=1,ACK=0标志的数据包请求连接

第二次握手
服务端回应SYN=1,ACK=1标志的数据包

第三次握手
客户端发送SYN=0,ACK=1的数据包确认连接

三次握手示意图

2. 使用Wireshark/Sniff Master抓取三次握手数据包

  1. 启动抓包,访问www.huawei.com
  2. 使用ping获取IP:ping www.huawei.com
  3. 设置过滤条件:ip.addr == 211.162.2.183

获取目标IP

抓取到的三次握手数据包:
握手数据包列表

第一次握手数据包
客户端发送SYN=1,Seq=0的数据包
第一次握手

第二次握手数据包
服务器回应SYN=1,ACK=1,Seq=0,Ack=1的数据包
第二次握手

第三次握手数据包
客户端发送ACK=1,SYN=0的数据包确认连接
第三次握手

总结

Wireshark和Sniff Master都是强大的网络分析工具,掌握它们的使用技巧对于网络工程师至关重要。通过本文的介绍,你应该已经了解了基本的抓包过滤和分析方法。在实际工作中,建议结合使用这两款工具,发挥它们各自的优势。

http://www.dtcms.com/a/111991.html

相关文章:

  • 33--当网络变成“主题公园“:Portal认证的奇幻之旅
  • 根据时间自动切换深色和浅色主题 程序占用检测
  • R 列表:深入解析及其在数据分析中的应用
  • dify中配置使用Ktransformer模型
  • Python 字典
  • FreeRTOS:嵌入式实时操作系统的轻量化解决方案
  • WPF设计学习记录滴滴滴5
  • KMP 算法全解析:高效实现字符串匹配与模板题详解
  • golang 的encoding/json包
  • python爬虫:小程序逆向(需要的工具前期准备)
  • 蓝桥杯---最短路径问题bfs
  • 【数据结构】邻接表 vs 邻接矩阵:5大核心优势解析与稀疏图存储优化指南
  • 三部门新政力推智能家居 居然智家数智化转型迎利好东风
  • YUV转RGBA的操作
  • 图解AUTOSAR_SWS_LINTransceiverDriver
  • 【嵌入式学习5】PyQt5模块介绍、创建第一个窗口
  • Linux安装启动ssh服务器以及ssh的配置
  • Leetcode 15 -- 双指针
  • Mysql 中的 MyISAM 引擎
  • 第十五届蓝桥杯单片机省赛程序设计试题
  • CSS 3D变换,transform:translateZ()
  • 从小米汽车事故反思 LabVIEW 开发
  • 专业的情商测评工具:EQ-i在线测评系统
  • Fastjson 处理 JSON 生成与解析指南
  • 31--当认证协议开始“选秀“:RADIUS、LDAP、AD与本地认证的C位之争
  • react redux的学习,多个reducer
  • drawio导出流程图为白色背景png图片
  • 对OSPF协议的LSA分析
  • Linux系统进程
  • AI 浪潮下企业身份管理:特点凸显,安全挑战升级