Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。
Wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。
与很多其他网络工具一样,Wireshark也使用Pcap Network Library来进行封包捕捉。
Wireshark的优势:
CAPTURE FILTER(捕捉过滤器)
捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。
打开菜单 Capture -> Options ,点击 Capture Filter 按钮,安装界面提示,选择过滤规则。
DISPLAY FILTER(显示过滤器)
捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。
显示过滤器用于查找捕捉记录中的内容。请不要将捕捉过滤器和显示过滤器的概念相混淆。显示过滤器与捕捉过滤器的语法规则是不一样的,显示过滤器输入框可以检查语法,语法错误时,输入框变成红色。
一条过滤规则:
not ip.src==192.168.1.1 and ip.dst==255.255.255.255
基于主机的过滤规则:
ip.host==192.168.1.1
过滤某种协议,例如DNS,Telnet等等,直接在输入框中输入协议名称:
过滤规则支持逻辑运算符号
IP地址过滤:
以寻找伪造DHCP服务器为例,介绍Wireshark的用法。在显示过滤器中加入过滤规则,显示所有非来自DHCP服务器并且bootp.type==0x02(Offer/Ack)的信息:
bootp.type==0x02 and not ip.src==192.168.1.1
Comments
There are currently no comments
New Comment