简介

1997年,Gerald Combs在工作中需要一款能够追 踪网络流量的软件作为辅助工具,开始编写Ethereal软件。 2006年, 由于商标问题,Ethereal更名为Wireshark。

Wireshark是一个网络封包分析软件,主要功能是捕获网络封包,并尽可能显示出最为详细的网络封包资料。

image-20221013204252960

wireshark会列出所有电脑上的网卡,后面的波动说明有数据通过

过滤功能

在过滤栏可以输入一些指令,来筛选包,这样可以过滤大部分不需要的信息

比如,输入ftp,就可以筛选出协议是ftp协议的包

image-20230427223249070

一般常用的过滤器

类型type: host,net,port

方向dir: src,dst

协议proto:ip,tcp,ftp,udp,http,icmp

逻辑运算符:and,or,not

比较运算符:==,!,>,<

例子

ip.add== 127.0.0.1 #显示源地址或者目的地址为127.0.0.1的数据包
ip.src==127.0.0.1 #显示源地址是127.0.0.1的数据包
ip.dst==127.0.0.1 #显示目的地址是127.0.0.1的数据包
tcp.port == 80 #显示tcp端口80的数据包
tcp.dstport == 80 #显示tcp协议的目标端口80