wireshark是一款著名的开源抓包软件,它可以抓取网卡的数据包,以供网络管理员分析。
一 安装方法
debain系安装方法:
sudo add-apt-repository ppa:wireshark-dev/stable sudo apt update sudo apt install wireshark
启动wireshark:
sudo wireshark
二 界面布局
欢迎界面,在此界面可以选择需要抓包的网卡,然后选择左上角的开始抓包
三 详细介绍
1 表达式过滤
可以根据使用者给定的条件过滤显示抓取的数据包,例如:udp.dstport<80可以过滤显示所有目的端口小于80的udp数据包。表达式支持自动补全提示。最右侧的“表达式”对话框包含了所有可用的过滤选项。
可以通过选择不同的选项自动补全过滤条件。
2 封包列表
此列表里显示了符合表达式条件的包列表,包括包的序号、时间、源地址、目的地址、协议、包长度与信息。
3 封包详细信息
双击封包列表中的任意一项,就可以显示出此项的详细信息
其中的下拉选项分别对应:
Frame ===========> 物理层
Ethernet II ===========> 数据链路层
Internet Protocol Version 4 ===========> 网络层
Transmission Control Protocol ===========> 传输层
Hyperter Transfer Protocol ===========> 应用层
四 实例分析
通过wireshark分析用户使用浏览器浏览网站的过程。我们浏览网页使用的是http协议,此协议运行在应用层,其下层为tcp协议,所以在进行传输过程中需要经历tcp协议三次握手,http协议传输超文本信息,tcp协议的四次挥手。
1 tcp三次握手
上图是三次握手的原理图,下图为封包列表
第一个包的Syn位为1
第二个包的ACK和Syn位为1
第三个包的ACK位为1
2 传输http信息
3 四次挥手
五 流追踪
wireshark抓取的数据是以分段的数据包形式存在的,如果要把这些数据包合成更容易阅读的形式,就可以使用流追踪。
选择感兴趣的封装包,点击鼠标右键选择“追踪流”,再选择相应的流形式
程序会自动选择所有相关的数据包组成的包流。
六 总结
上面是博主总结的wireshark的入门用法,但是使用这些方法诊断网络状况还不够,博主会在今后追加内容,敬请关注。
原创文章,作者:realmaster,如若转载,请注明出处:http://www.178linux.com/71469