1、Wireshark 的抓包及過(guò)濾規(guī)則實(shí)驗(yàn)Wireshark是世界上最流行的網(wǎng)絡(luò)分析工具。 這個(gè)強(qiáng)大的工具可以捕捉網(wǎng)絡(luò)中的數(shù)據(jù)， 并為用戶提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議的各種信息。與很多其他網(wǎng)絡(luò)工具一樣，Wireshark也使用pcapnetworklibrary來(lái)進(jìn)行封包捕捉。Wireshark的優(yōu)勢(shì)：- 安裝方便。- 簡(jiǎn)單易用的界面。- 提供豐富的功能。Wireshark的原名是Ethereal,新名字是2006年起用的。當(dāng)時(shí)Ethereal的主要開(kāi)發(fā)者決定離開(kāi)他原來(lái)供職的公司，并繼續(xù)開(kāi)發(fā)這個(gè)軟件。但由于Ethereal這個(gè)名稱的使用權(quán)已經(jīng)被原來(lái)那個(gè)公司注冊(cè)，Wireshark這個(gè)新名字也就應(yīng)運(yùn)而生

2、了。實(shí)驗(yàn)一抓ARP包一：安裝并運(yùn)行wireshark開(kāi)始捕獲數(shù)據(jù)包，如圖所示點(diǎn)擊第二行的start開(kāi)始捕獲數(shù)據(jù)包。:幾分鐘后就捕獲到許多的數(shù)據(jù)包了，主界面如圖所示:如上圖所示，可看到很多捕獲的數(shù)據(jù)。第一列是捕獲數(shù)據(jù)的編號(hào);第二列是捕獲數(shù)據(jù)的相對(duì)時(shí)間，從開(kāi)始捕獲算為0.000秒；第三列是源地址，第四列是目的地址；第五列是數(shù)據(jù)包的信息。選中第一個(gè)數(shù)據(jù)幀，然后從整體上看看Wireshark的窗口，主要被分成三部分。上面部分是所有數(shù)據(jù)幀的列表；中間部分是數(shù)據(jù)幀的描述信息；下面部分是幀里面的數(shù)據(jù)三：開(kāi)始分析數(shù)據(jù)在下圖中Filter后面的編輯框中輸入：arp（注意是小寫），然后回車或者點(diǎn)擊“Apply按鈕

3、截圖（替換掉該圖）現(xiàn)在只有ARP協(xié)議了，其他的協(xié)議數(shù)據(jù)包都被過(guò)濾掉了。注意到中間部分的三行前面都有一個(gè)“+；點(diǎn)擊它，這一行就會(huì)被展開(kāi)。如下圖所示：UIJjjlFrame15btescmwire.&QtQftcscptijrdr)*EthernILSr-：:口氣mg滬。十：俄(OU幻：北上Dst5&road：a$t(ff-ffrff至Act*日f(shuō)eesolurIonprotocolCr&quesr)截圖（替換掉該圖）現(xiàn)在展開(kāi)第一行。看到的結(jié)果如下:餐F廠即七2Uubyte苴unMir已2 匚*pKuEd)Aj-rlwdlTim白：Dec2r20CB15：1OJ1S.731

4、0250QDTimedeHafromp廣總dseJipturdam卓；。.13838。00secondsTimedeltafrcmpreviQU5displayedframe:4.7M371000secondsTlmtslfKt廣orfirstfrwit：4,704371000&orbds)FrweHutfriier;15frameLength:bytesCaptureLerigth:60bytesFrane11mirkedrfalsfiprDTocolaInehurpColoringRule也協(xié)2：ARPColcrlrwiPuleString:arpLiEthfr-natII,5rc

5、iEl11egro2d；e7idtDs.t:Braidcast(f：ftf./j.d4ressQluiionPrs#：。1frequ)截圖（替換掉該圖）在上圖中我們看到這個(gè)幀的一些基本信息:幀的編號(hào)：幀的大?。簬徊东@的日期和時(shí)間：幀距離前一個(gè)幀的捕獲時(shí)間差：幀距離第一個(gè)幀的捕獲時(shí)間差：幀裝載的協(xié)議：現(xiàn)在展開(kāi)第二行:h0號(hào)廠nutI工.5工二胃d；噂Ont：Bra-ds，二產(chǎn)；F*:手胥=fT;foadcAFC;J而QW“芍工什才十：，九懺什:ft)-wB1-h.KMt;STGMD越C3(.flultst/brsaidcast).r.,1.r.-.r e 一-J。&H31口門11*沏I

6、fM丁時(shí)電伺45日f(shuō)t4dlsHFCTTH+二口廠產(chǎn)才勺收?-auyej后11f:如fW：豺e(7：(十。血re3；El在物嚴(yán)看/日逢大d6(DO；：Od：3dstrciB.)一一一八.一一一h八,-MhltlmcriivltiullJiddr*S(UMCT.i0-4.,.ILGbit:Globallyuniijeaddresi%U5dflfdirltJTpe:APP(Q.ijfrjftJ“41=：。兇38W(taXQN舊1313WflyQKWi：:截圖（替換掉該圖）我們可以看到：目的地址（Destination）:源地址（Source）:幀中封裝的協(xié)議類型:Trailer：是協(xié)議中填充的數(shù)據(jù)

7、，為了保證幀最少有64字節(jié)。展開(kāi)第三行:=1鳥弓PesoIutianProtocol(request)kardwreCooooi)protocoltype:IPf0.0800)Harckareize:6(Protocolsize:4Opcode:request(0 x0001)SenderMACaddress:El1tiegro_2id:e7:db(00:0di:87:2d:e7:db)senderIPadtfress：192,1e8.1.131a92,lftS,1,131TirgetHACaddress:SQ:00zD0_00:00:Qj(00:OGzOO:DUIOICJ)TargetIPa

8、ddress： 192.16B.1.168(192.168.1,16S)地址解析協(xié)議硬件類型：協(xié)議類型：硬件大?。簠f(xié)議大小：發(fā)送方MAC地址：發(fā)送方IP地址：目的MAC地址：目的IP地址：實(shí)驗(yàn)二捕獲過(guò)濾器的使用JjlLDJ100020UQ3O4dj,*siB*solqt.獨(dú)Pr鈣pthzkwlfU;即KiMwk.d0WireShark捕獲過(guò)濾語(yǔ)法1 .過(guò)濾IP,如來(lái)源IP或者目標(biāo)IP等于某個(gè)IP例子：ip.srceq07orip.dsteq07或者ip.addreq07/都能顯示來(lái)源IP和目標(biāo)IP實(shí)驗(yàn)：設(shè)置源IP并（或）目的IP

9、的過(guò)濾語(yǔ)法并截圖截圖并說(shuō)明過(guò)濾語(yǔ)法是什么2 .過(guò)濾端口例子：tcp.porteq80/不管端口是來(lái)源的還是目標(biāo)的都顯示tcp.port=80tcp.porteq2722tcp.porteq80orudp.porteq80udp.porteq15000過(guò)濾端口范圍tcp.port=1andtcp.port=80截圖并說(shuō)明過(guò)濾語(yǔ)法是什么tcp.dstport=80/只顯tcp協(xié)議的目標(biāo)端口80tcp.srcport=80/只顯tcp協(xié)議的來(lái)源端口80實(shí)驗(yàn)：設(shè)置源端口并（或）目的端口的過(guò)濾語(yǔ)法（TCP或UDP）并截圖3.過(guò)濾協(xié)議例子：tcpudparpicmphttpsmtpftpdnsmsnmsi

10、pssloicqbootp排除arp包，如!arp或者notarp實(shí)驗(yàn)：設(shè)置DNS和HTTP的過(guò)濾語(yǔ)法并截圖截圖并說(shuō)明過(guò)濾語(yǔ)法是什么4 .過(guò)濾MAC太以網(wǎng)頭過(guò)濾eth.dst=A0:00:00:04:C5:84/eth.srceqA0:00:00:04:C5:84/eth.dst=A0:00:00:04:C5:84eth.dst=A0-00-00-04-C5-84eth.addreqA0:00:00:04:C5:84/過(guò)濾來(lái)源MAC和目標(biāo)MAC都等于A0:00:00:04:C5:84實(shí)驗(yàn)：設(shè)置源MAC并（或）目的MAC的過(guò)濾語(yǔ)法并截圖過(guò)濾目標(biāo)mac過(guò)濾來(lái)源mac截圖并說(shuō)明過(guò)濾語(yǔ)法是什么5 .包

11、長(zhǎng)度過(guò)濾lessthan小于=7指的是ip數(shù)據(jù)包（tcp下面那塊數(shù)據(jù)）,不包括tcp本身ip.len=94除了以太網(wǎng)頭固定長(zhǎng)度14,其它都算是ip.len,即從ip本身到最后frame.len=119整個(gè)數(shù)據(jù)包長(zhǎng)度，從eth開(kāi)始到最后eth-iporarp-tcporudp-data實(shí)驗(yàn)：設(shè)置包長(zhǎng)度過(guò)濾語(yǔ)法（采用大于等于ge和小于等于le）并截圖截圖并說(shuō)明過(guò)濾語(yǔ)法是什么6 .http模式過(guò)濾例子：http.request.method=GEThttp.request.method=POSThttp.request.uri=/img/logo-edu.gifhttpcontainsGEThttp

12、containsHTTP/1./GET包http.request.method=GET&httpcontainsHost:http.request.method=GET&httpcontainsUser-Agent:/POST包http.request.method=POST&httpcontainsHost:http.request.method=POST&httpcontainsUser-Agent:/響應(yīng)包httpcontainsHTTP/1.1200OK&httpcontainsContent-Type:httpcontainsHTTP/1.0200OK&httpcontainsContent-Type:一定包含如下Content-Ty