Wireshark

Wireshark 常用功能介绍

显示过滤器

显示过滤器可以用很多不同的参数来作为匹配标准，比如IP地址、协议、端口号、某些协议头部的参数。此外，用户也用一些条件工具和串联运算符创建出更加复杂的表达式。用户可以将不同的表达式组合起来，让软件显示的数据包范围更加精确。在数据包列表面板中显示的所有数据包都可以用数据包中包含的字段进行过滤。

[not] Expression [and|or] [not] Expression

经常要用到各种运算符

运算符

说明

等于

不等于

大于

小于

大于等于

小于等于

与

and , &&

或

or , ||

非

! , not

配置方法

借助于过滤器窗口
filter_window
借助于工具条的输入栏
filter_tool
将数据包某个属性值指定为过滤条件
filter_select

!!! note 复杂的过滤命令可以直接通过第三种方式得到过滤语法

信息统计

Protocol History(协议分级)

这个窗口实现的是捕捉文件包含的所有协议的树状分支

包含的字段

名称

含义

Protocol：

协议名称

% Packets：

含有该协议的包数目在捕捉文件所有包所占的比例

Packets：

含有该协议的包的数目

Bytes：

含有该协议的字节数

Mbit/s：

抓包时间内的协议带宽

End Packets：

该协议中的包的数目（作为文件中的最高协议层）

End Bytes：

该协议中的字节数（作为文件中的最高协议层）

End Mbit/s：

抓包时间内的协议带宽（作为文件中的最高协议层）

这一功能可以为分析数据包的主要方向提供依据

Conversation(对话)

发生于一特定端点的IP间的所有流量.

!!! note - 查看收发大量数据流的IP地址。如果是你知道的服务器（你记得服务器的地址或地址范围），那问题就解决了；但也有可能只是某台设备正在扫描网络，或仅是一台产生过多数据的PC。 - 查看扫描模式（scan pattern）。这可能是一次正常的扫描，如SNMP软件发送ping报文以查找网络，但通常扫描都不是好事情

EndPoints(端点)

这一工具列出了Wireshark发现的所有endpoints上的统计信息

HTTP

Packet Counter
pac_count

参考

http://blog.jobbole.com/73482/
http://www.vuln.cn/2103

信息统计进阶版

根据总体信息迅速把握流量包总体特征,搞清楚 做什么?

TODO

Previous协议分析概述 NextDNS

Last updated 2 years ago

hashtagWireshark 常用功能介绍

hashtag显示过滤器

hashtag配置方法

hashtag信息统计

hashtagProtocol History(协议分级)

hashtagConversation(对话)

hashtagEndPoints(端点)

hashtagHTTP

hashtag信息统计 进阶版

hashtag