日期:2024-06-18
它是一款網絡數據包分析軟件,網絡數據包分析軟件的作用是捕獲網絡數據包,并盡可能的展示最詳細的網絡數據包數據,作為接口直接與網卡交換數據包,是網絡數據包和流量分析領域非常強大的工具,深受各類網絡工程師和網絡分析人員的喜愛。
本文的主要內容包括:
我們先來介紹一下這個軟件。
首先我們來看一下這個軟件的主界面。
在這個界面中,主界面
在菜單欄上選擇->,勾選WLAN網卡(這里需要根據每臺電腦的網卡使用情況來選擇,簡單的看使用的IP對應的網卡)。點擊Start。開始抓包。
啟動后處于抓包狀態。
1、執行需要抓包的操作,比如ping等。
2、操作完成后,抓取相關數據包,為避免其他無用數據包影響分析,可以通過過濾欄中設置過濾條件來過濾數據包列表,結果如下。注:ip.addr == 119.75.217.26 and icmp 表示只顯示源主機IP或目標主機IP為119.75.217.26且協議為ICPM的數據包。
3.抓包就完成了,就這么簡單,后面會介紹過濾條件和如何查看數據包的詳細內容。
抓包接口
注:包列表區中不同協議以不同顏色區分,協議顏色標識位于菜單欄View-->Rules中。如下圖
主要分為這幾個接口
( ),用于設置過濾數據包列表的過濾條件。菜單路徑:--> 。
列表框( List)展示抓取到的數據包,每個數據包包含編號、時間戳、源地址、目的地址、協議、長度、數據包信息等,不同協議的數據包以不同的顏色顯示。
窗格( ),在數據包列表中選中某個特定的數據包,數據包詳細信息中會顯示該數據包的所有詳細信息。數據包詳細信息面板是最重要的,用于查看協議中的各個字段。每行信息都是
(1)幀:物理層數據幀概述
(2):數據鏈路層以太網幀頭信息
(3)4:層IP數據包頭信息
(4):傳輸層T的數據段頭信息,這里是TCP
(5):應用層信息,這里是HTTP協議
TCP數據包具體內容
從下圖中可以看到捕獲的TCP數據包中的各個字段。
窗格(數據包字節區域)。
篩選器設置
新手使用時,會得到大量冗余的數據包,很難找到自己抓取到的數據包。該工具自帶兩種過濾器,學會使用這兩種過濾器可以幫助我們在大量數據中快速找到自己需要的信息。
(1)數據包捕獲過濾器
捕獲過濾器的菜單欄路徑為 --> ,用于在捕獲數據包之前進行設置。
如何使用?在抓取數據包之前,可以進行如下設置。
ip host 60.207.246.216 and icmp 表示只抓取主機IP為60.207.246.216的ICMP數據包,結果如下:
(2)顯示過濾器
顯示過濾器用于設置抓包后的過濾條件,通常抓包時條件比較寬泛,當抓包內容比較多時,使用顯示過濾器設置條件,方便分析。同樣的場景,抓包時不設置抓包規則,直接通過網卡抓取所有數據包,如下
執行ping得到的數據包列表如下
觀察上面獲取到的數據包列表,其中包含了大量的無效數據,此時可以通過設置顯示過濾條件來提取分析信息。ip.addr == 211.162.2.183 和 icmp. 并過濾。
以上介紹了抓包過濾器和顯示過濾器的基本使用方法,當網絡不太復雜或者流量不大的時候,使用顯示過濾器進行抓包后處理就可以滿足我們的需求。下面介紹一下兩者的語法以及區別。
過濾表達式的規則
1. 數據包捕獲過濾器語法和示例
數據包捕獲過濾器類型類型(主機、網絡、端口)、方向Dir(源、目標)、協議Proto(ether、ip、tcp、udp、http、icmp、ftp等)、邏輯運算符(&&與、||或、!非)
(1)協議過濾
比較簡單,在抓包過濾框里輸入協議名稱就可以了。
TCP,只顯示TCP協議的數據包列表
Copyright 江蘇艾力昇醫療科技有限公司 版權所有 蘇ICP備123456789號-1
