something about wireshark

something about wireshark

wireshark

Capture过滤表达式

只抓取表达式 匹配成功 的包,对于不匹配的包不予抓取。
表达式为与 TCP dump 相同的表达式。

  • 查看手册

    packet filter syntax

    1
    man pcap-filter
  • 只关注80端口

    1
    tcp port 80
  • 只关注icmp协议

    1
    icmp

Display过滤表达式

已经抓取 的包,进行 过滤显示 ,只显示表达式 匹配成功 的包,对于不匹配的包不予显示。
与 Capture过滤表达式 不同, Display过滤表达式是wireshark package列表过滤表达式, 语法 不相同。
Display过滤表达式 语法更多

  • 相关文档

  • Display Filter Expression

    display filter 输入框处右击,选择 Display Filter Expression ,进入表达式编辑窗口,用于创建 复杂表达式

网络协议

数据包详情

  • MAC地址以太网数据包
  • Package Bytes 中十六进制内容为 0800 时,一般为标识 IPv4协议

专家模式

  • Expert Information 专家模式

    专家模式下,会将 对话 、错误信息、重复应答、警告等在列表中显示。更加方便查看。

远程抓包

  • SSH remote capture

    • 需要远程机器安装wireshark(桌面版/命令行版 tshark 都可), 远程执行二进制程序一般为dumpcap(由wireshark提供)。
    • 配置ssh相关内容,配置 远程网卡 等信息,配置远程二进制程序等。
    • 配置完成后,即可由本机wireshark通过ssh与远程wireshark二进制程序联动,实际工作由远程wireshark二进制程序负责。
    • 本地wireshark负责内容输出。
  • Tcpdump 远程抓包

    • 需要远程机器安装tcpdump作为远程执行二进制程序。

    • tcpdump 使用

      tcpdump 常用参数
      -D 列出本机可用网卡
      -i wlan0 指定使用wlan0网卡
      -c 20 指定抓取20个包
      -w filename 指定输出到文件
      -w - 指定标准输出
      ‘filter expressions’ 最后附加filter参数
      -l 指定逐行输出,不加缓存

      搭配ssh与本地wireshark使用:

      1
      2
      # 将远程tcpdump的标准输出作为wireshark的标准输入
      ssh root@123.124.125.126 "tcpdump -i wlan0 -c 20 -w - 'not port 22'" | wireshark -i -

      本地wireshark与远程tcpdump联动,实时抓包(不指定-c参数)

      1
      2
      3
      4
      # -k 参数指定本地wireshark实时抓包
      ssh root@123.124.125.126 "tcpdump -i wlan0 -w - 'not port 22'" | wireshark -k -i -
      # -l 参数指定远程tcpdump逐行输出,而非缓存到一定程度后分批输出
      ssh root@123.124.125.126 "tcpdump -l -i wlan0 -w - 'not port 22'" | wireshark -k -i -
  • tshark 远程抓包

    tcpdump类似的命令行。

    tshark 常用参数
    -D 列出本机可用网卡
    -i eth0 指定使用eth0网卡
    命令最后可以增加filter expressions