认识Wireshark到精通数据分析
1 打开wireshark软件
1.1 进行数据抓包,连接上wifi,然后双击WiFi图中勾起来的WiFi后将开始抓包
随便打开浏览器,等一小段时间以后,在wireshark上面工具栏中点击暂停,则停止抓包
2.进行数据分析
首先在筛选器中,我们输入http,过滤器的存在可以有效帮我们从数据包中找到想要的信息
首先在下面的框里面,我们可以清楚的看到有五行,这是五种协议的信息,第一行Frame表示的是物理层数据帧的情况,第二行是数据链路层以太网帧的头部信息,第三行是网络层IP包的头部信息,第四行是传输层数据段的头部的信息,第五行是http应用层的头部信息。
2.1进行前四行的数据分析
我们先简单分析一下第一行,点击第一行,展开如图
针对于这里面的部分数字,英文做些了解:
1244,这是指这是1244号的数据帧
214,在这个线路上有214个字节,实际捕获了214个字节
Frame is marked:False ,这里指的是帧是否被标记,这里的false是没有被标记
分析第二行
第二行展开的第一行是一个地址,是目标的Mac的地址
展开的第二行是源Mac地址
分析第三行网络ip包
version:4,指的是互联网协议,ipv4
Protocol:Tcp(6),指的是当前数据包所封装的上层协议是Tcp协议
source:后面跟的是源ip地址
destination:目的ip地址
第四行,传输层分析
source;port 源端口号
destination:port,目的端口号
sequen number,相对序列号
wireshark筛选起的介绍及应用
我们可以在筛选器中输入各种条件,来筛选抓到的包。例如上面我们通过在筛选器中输入http来获取http包
筛选器中我们可以通过and,or等逻辑运算来指定筛选条件进行筛选,也可以通过比较操作符=,>,<,等符号来筛选
例如:
我们可以在筛选器中输入 ip addr=180.97.34 and tcp.port==80来进行筛选ip地址是180.97.34并且端口号为80的数据包了
我们筛选器中输入 !tcp进行筛选,我们便可以得到非tcp协议的数据包了
我们筛选器中输入 frame length<=200进行筛选,便可得到字节小于等于200的数据包了