nullIP网络抓包工具简明用户手册IP网络抓包工具简明用户手册基于WireShark工具的使用
李潘迅
2010-04-28nullWireShark简介
非混杂模式下抓包
混杂模式下抓包
如何抓取特定的数据包
如何从已抓捕的数据中快速查找特定数据包
WireShark简介WireShark简介一款开源的非常专业的网络抓包及分析工具!
官方网站:http://www.wireshark.org/
也可从我们的FTP服务器下载,路径为:
/Upload/网络抓包工具
非混杂模式下抓包非混杂模式下抓包非混杂模式指:WireShark只抓取指定网卡上的发出与接收的数据包,与指定网卡无关的数据包将被忽略。
使用方法见下一页null混杂模式下抓包混杂模式下抓包混杂模式指:WireShark能够抓取主机所在局域网内的全部网络包,即局域网内其他主机之间的通信数据包也能被抓获,我们经常使用此模式。
使用方法见下一页null如何抓取特定的数据包如何抓取特定的数据包当用户抓包时,WireShark提供了一个过滤机制,用于过滤
用户不关注的数据包。
用户需设置过滤表达式(满足此表达式的数据包才被捕
获),其格式为:
[not] primitive { and|or [not] primitive }
[ ] :表示中括号内的内容为可选项
and :表示逻辑与,and两端必须全部为真
or :表示逻辑或,or两端只要有一个为真
not :表示逻辑非,not右端为假
| :表示二选一
< > :表示尖括号内的内容为必选项
{ } :表示大括号内的内容为可重复0至无数次的项
primitive:表示原语,其定义见下一页nullprimitive有许多形式:
[src|dst] host
host表示抓取主机host上的网络包
src表示host为数据发送端
dst表示host为数据接收端
如果不指定src或dst,表示host既是发送端也是接收端
[tcp|udp] [src|dst] port
tcp表示抓tcp包
udp表示抓udp包
port表示抓端口为port的包
其他的与前一个primitive类同
更多的形式参考WireShark使用手册null常用的过滤表达式1常用的过滤表达式1src host 192.168.22.122
表示只抓取从192.168.22.122发出来的包
dst host 192.168.22.122
表示只抓取发往192.168.22.122的包
host 192.168.22.122
表示即抓取发往192.168.22.122的包也抓取从192.168.22.122发出来的包常用的过滤表达式2常用的过滤表达式2udp port 2002
表示只抓取源端口或目的端口为2002的UDP包
portrange 2001-2020
表示只抓取源端口或目的端口在[2001,2020]闭区间内的UDP包
dst host 192.168.22.122 and dst udp port 2002
表示只抓取发往192.168.22.122:2002的UDP包更多的过滤表达式更多的过滤表达式参考:
http://wiki.wireshark.org/CaptureFilters如何从已抓捕的数据中快速查找特定数据包如何从已抓捕的数据中快速查找特定数据包当用户已经抓捕了大量的网络包,如果要在之中查找某个特
定的包,不可能一个一个的去检查,WireShark为用户提供
了另一个过滤机制,
下图为某用户已经抓取了大量的数据包:nullnull
如果该用户想查找 目的端口等于8888,且源
IP为192.168.22.105的 UDP包时,用如下过
滤表达式:
udp.port == 8888 and ip.src==192.168.22.105
见下图:null查找数据包时的过滤表达式查找数据包时的过滤表达式参考1:http://wiki.wireshark.org/DisplayFilters
参考2:WireShark自带的用户手册
再填写表达式时,用户输入小数点后,
WireShark会自动显示一个列表,供用户选
择,如下图:
udp.port:udp包的源端口
udp.dstport:udp包的目的端口nullnullEND
浙公网安备 33021202002483