資源描述:
《wireshark-win32-1.6.5wireshark抓包》由會員上傳分享����,免費在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫�����。
1�、如何使用Wireshark抓包Wireshark使用說明http://shenzhenchufa.blog.51cto.com/730213/236310Wireshark簡介:?Wireshark是世界上最流行的網(wǎng)絡(luò)分析工具。這個強大的工具可以捕捉網(wǎng)絡(luò)中的數(shù)據(jù),并為用戶提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議的各種信息�。與很多其他網(wǎng)絡(luò)工具一樣,Wireshark也使用pcapnetworklibrary來進行封包捕捉�。可破解局域網(wǎng)內(nèi)QQ�、郵箱、msn����、賬號等的密碼!���!?wireshark的原名是Ethereal��,新名字是2006年起用的���。當時Ethereal的主要開發(fā)者決定離開他原來供
2、職的公司�,并繼續(xù)開發(fā)這個軟件。但由于Ethereal這個名稱的使用權(quán)已經(jīng)被原來那個公司注冊�����,Wireshark這個新名字也就應(yīng)運而生了���。Wireshark使用說明:?Protocol(協(xié)議):可能的值:ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcpandudp.如果沒有特別指明是什么協(xié)議��,則默認使用所有支持的協(xié)議����。Direction(方向):可能的值:src,dst,srcanddst,srcordst如果沒有特別指明來源或目的地,則默認使用"srcordst"作為關(guān)鍵字����。例如,"host10.2.2.2"與"
3���、srcordsthost10.2.2.2"是一樣的�。Host(s):可能的值:net,port,host,portrange.如果沒有指定此值��,則默認使用"host"關(guān)鍵字��。例如���,"src10.1.1.1"與"srchost10.1.1.1"相同。LogicalOperations(邏輯運算):可能的值:not,and,or.否("not")具有最高的優(yōu)先級����?���;?"or")和與("and")具有相同的優(yōu)先級�����,運算時從左至右進行���。例如���,"nottcpport3128andtcpport23"與"(nottcpport3128)andtcpport23"相同。"nottcp
4�����、port3128andtcpport23"與"not(tcpport3128andtcpport23)"不同���。?例子:基本格式:[protocol][src/dst][host/port]**and/or/not**?capture捉包:tcpdstport21?顯示目的TCP端口為21的封包���。?ipsrchost192.168.30.242?顯示來源IP地址為192.168.30.242?的封包。host192.168.30.242???顯示目的或來源IP地址為192.168.30.242?的封包���。srcportrange2000-2500?顯示來源為UDP或TCP���,
5�����、并且端口號在2000至2500范圍內(nèi)的封包�。notimcp?顯示除了icmp以外的所有封包�。(icmp通常被ping工具使用)srchost10.7.2.12andnotdstnet192.168.30.0/24?顯示來源IP地址為10.7.2.12,但目的地不是192.168.30.0/24的封包�。(srchost10.4.1.12orsrcnet10.6.0.0/16)andtcpdstportrange200-10000anddstnet10.0.0.0/8??顯示來源IP為10.4.1.12或者來源網(wǎng)絡(luò)為10.6.0.0/16,目的地TCP端口號在200至100
6��、00之間�����,并且目的位于網(wǎng)絡(luò)10.0.0.0/8內(nèi)的所有封包���。?注意事項:當使用關(guān)鍵字作為值時,需使用反斜杠“”�����。"etherprotoip"(與關(guān)鍵字"ip"相同).這樣寫將會以IP協(xié)議作為目標����。"ipprotoicmp"(與關(guān)鍵字"icmp"相同).這樣寫將會以ping工具常用的icmp作為目標��?���?梢栽?ip"或"ether"后面使用"multicast"及"broadcast"關(guān)鍵字�。當您想排除廣播請求時,"nobroadcast"就會非常有用���。?另外不同的表示方式:?ip.addr==192.168.30.242???顯示目的或來源IP地址為192.168.
7���、30.242?的封包。tcp.porteq25oricmp???????顯示tcp端口為25或imcp的包tcp.dstport==25顯示目的TCP端口號為25的封包�����。?tcp.port==80
8����、
9、udp.port==80顯示tcp端口為25或udp端口是80的包eth.addr==?00-1C-23-27-72-1E?顯示mac地址是00-1C-23-27-72-1E的包tcp.flags顯示包含TCP標志的封包�。?tcp.flags.syn==0x02顯示包含TCPSYN標志的封包。?http.request.urimatches"
