全部博文(930)
分类: LINUX
2008-10-26 14:47:32
Wireshark是个很不错的sniffer,要了解它当然少不了要到Wireshark的,你会看到这样的说明:
以下为引用: Sniff Free or Die
Same developers, same code, different name. The Ethereal network protocol analyzer has changed its name to Wireshark.
Wireshark's powerful features make it the tool of choice for network troubleshooting, protocol development, and education worldwide.
Wireshark was written by an international group of networking experts, and is an example of the power of open source. It runs on Windows, Linux, UNIX, and other platforms.
“同样的开发团队,同样的代码,不同的名字。网络协议分析工具 Ethereal 已经更名为 Wireshark。”
可以看到它还是有点历史了,Wireshark 原来是 Ethereal 的开发团队“跳槽”后重新发布的版本,是个开源项目。
目前wireshark的最新版本是0.99.5,并安装好后即可使用(还需要):
在用它来捕获数据包之前通常先要设置一下,主要是选择网络设备,还可以选择是否使用混杂模式(菜单"Capture/Options"):
开始捕获(上图窗口中点击"Start"或菜单"Capture/Start")之后,试试打开浏览器访问Google,然后Stop捕获,捕获的记录就显示在Wireshark主窗口上了:
有时候捕到的记录太多,我们只对某些特定的感兴趣,那就可以在Filter输入框里输入 过滤规则从而更方便分析。当然过滤语句需要符合Wireshark的过滤表达式规则(点击旁边的"Expression"按钮即可查看详细的说明)才可 以,输入完后点击一下旁边的“Apply”或按回车即可。注意,如果你输入的过滤规则符合格式要求则Filter输入框的背景颜色应该是绿色的,反之则为 浅红色。
下面简单说一下常用的过滤规则:
1、可按协议类型过滤,比如只想看使用HTTP协议的那就直接输入“HTTP”;
2、若只要显示与指定IP(比如说google中国64.233.189.104)通信的记录则可输入“ip.addr ==
64.233.189.104”;如果要再限制为只要从64.233.189.104来的记录则应输入“ip.src ==
64.233.189.104”,而到64.233.189.104的记录则应输入“ip.dst == 64.233.189.104”;
3、还可以针对HTTP的请求方法进行过滤,比如只显示发送“GET”请求的:http.request.method == "GET":
4、最后需要提醒一点:过滤语句可利用“&&”(表示“与”)和“||”(表示“或”)来组合使用多个限制规则,比如“(http && ip.dst == 64.233.189.104) || dns”:
如果需要将某次捕获记录保存下来方便以后再分析的话则可保存为记录文件,有时候我们只想将经过过滤的记录保存下来,只要选中“Displayed”即可:
好了,这次暂且先写这么多了.
今天还干了一件丢人的事,想保存下截获的包,看看file菜单下的save,save as都是灰色的.我还以为我用的是盗版的wireshark呢?惭愧,Windows盗版软件用习惯了.最后猛的一想才知道原来还没有stop,没stop就不能保存...有点小小的不习惯.^_^BS下自己.
