数据包捕获输出中的默认列
没有。 | 从数据包捕获开始的帧号 |
时间 | 第一帧的秒数 |
来源(src) | 源地址,通常是IPv4,IPv6或以太网地址 |
目的地(dst) | 目的地地址 |
协议 | 以太网帧,IP数据包或TC段中使用的协议 |
长度 | 帧长度(以字节为单位) |
逻辑运算符
操作员 | 说明 | 例 |
|---|---|---|
和或&& | 逻辑与 | 所有条件都应匹配 |
或|| | 逻辑或 | 所有条件或其中之一应匹配 |
xor或^^ | 逻辑异或 | 排他性变更-两个条件中只有一个不能同时满足 |
不! | 不(否定) | 不等于 |
[n] [ ... ] | 子串运算符 | 过滤特定的单词或文字 |
过滤数据包(显示过滤器)
操作员 | 说明 | 例 |
|---|---|---|
eq或== | 等于 | ip.dest == 192.168.1.1 |
ne或!= | 不相等 | ip.dest != 192.168.1.1 |
gt或> | 比...更棒 | frame.len > 10 |
它或< | 少于 | frame.len < 10 |
ge或>= | 大于或等于 | frame.len >= 10 |
乐或<= | 小于或等于 | frame.len <= 10 |
过滤器类型
捕获过滤器 | 捕获期间过滤数据包 |
显示过滤器 | 隐藏捕获显示中的数据包 |
Wireshark捕获模式
混杂模式 | 设置接口以捕获与其关联的网段上的所有数据包 |
监控模式 | 设置无线接口以捕获其可以接收的所有流量(仅限Unix / Linux) |
杂
切片运算符 | [...]-值范围 |
会员运营商 | {}-在 |
CTRL + E | 开始/停止捕获 |
捕获过滤器语法
句法 | 协议 | 方向 | 主机 | 值 | 逻辑运算符 | 表达方式 |
|---|---|---|---|---|---|---|
例 | tcp | src | 192.168.1.1 | 80 | 和 | TCP DST 202.164.30.1 |
显示过滤器语法
句法 | 协议 | 弦1 | 弦2 | 比较运算符 | 值 | 逻辑运算符 | 表达 |
|---|---|---|---|---|---|---|---|
例 | http | 目的 | ip | == | 192.168.1.1 | 和 | TCP端口 |
键盘快捷键-主显示窗口
加速器 | 描述 | 加速器 | 描述 |
|---|---|---|---|
Tab或Shift + Tab | 在屏幕元素之间移动,例如从工具栏到数据包列表再到数据包详细信息。 | Alt +→或Option→ | 移至选择历史记录中的下一个数据包。 |
↓ | 移至下一个数据包或详细信息项目。 | → | 在数据包详细信息中,打开选定的树项目。 |
↑ | 移至上一个数据包或明细项目。 | Shift +→ | 在数据包详细信息中,打开选定的树项目及其所有子树。 |
Ctrl +↓或F8 | 即使数据包列表不集中,也移至下一个数据包。 | Ctrl +→ | 在数据包详细信息中,打开所有树项。 |
Ctrl +↑或F7 | 即使包列表不集中,也移至上一个包。 | Ctrl +← | 在数据包详细信息中,关闭所有树 |
Ctrl +。 | 移至会话的下一个数据包(TCP,UDP或IP)。 | 退格键 | 在数据包详细信息中,跳到父节点。 |
Ctrl +, | 移至会话的上一个数据包(TCP,UDP或IP)。 | 返回或输入 | 在数据包详细信息中,切换所选的树项。 |
协议-值
醚, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp
常用过滤命令
用法 | 过滤语法 |
|---|---|
通过IP的Wireshark过滤器 | ip.add == 10.10.50.1 |
按目标IP过滤 | ip.dest== 10.10.50.1 |
按来源IP筛选 | ip.src == 10.10.50.1 |
按IP范围过滤 | ip.addr>= 10.10.50.1 and ip.addr<=10.10.50.100 |
按多个Ips过滤 | ip.addr== 10.10.50.1 and ip.addr== 10.10.50.100 |
过滤出IP地址 | ! (ip.addr == 10.10.50.1) |
过滤子网 | ip.addr== 10.10.50.1/24 |
按端口过滤 | tcp.port == 25 |
按目标端口过滤 | tcp.dstport == 23 |
按IP地址和端口过滤 | ip.addr== 10.10.50.1 and Tcp.port == 25 |
按网址过滤 | http.host ==“主机名” |
按时间戳过滤 | 帧时间>=“ 2019年6月2日18:04:00” |
过滤SYN标志 | Tcp.flags.syn == 1 Tcp.flags.syn == 1和tcp.flags.ack == 0 |
Wireshark信标过滤器 | wlan.fc.type_subtype = 0x08 |
Wireshark广播过滤器 | eth.dst == ff:ff:ff:ff:ff:ff:ff |
Wireshark组播过滤器 | (eth.dst [0]& 1) |
主机名过滤器 | ip.host =主机名 |
MAC地址过滤器 | eth.addr == 00:70:f4:23:18:c4 |
RST标志过滤器 | tcp.flag.reset == 1 |
工具栏的主要项目
工具栏图标 | 工具栏项 | 菜单项 | 描述 |
|---|---|---|---|
 | 开始 | 捕捉→开始 | 使用与上一个会话相同的数据包捕获选项,如果未设置任何选项,则使用默认值 |
 | 停 | 捕捉→停止 | 停止当前活动的捕获 |
 | 重新开始 | 捕获→重新启动 | 重新启动活动捕获会话 |
 | 选项... | 捕获→选项... | 打开“捕获选项”对话框 |
 | 打开... | 文件→打开... | 打开“文件打开”对话框以加载捕获以供查看 |
 | 另存为... | 文件→另存为... | 保存当前捕获文件 |
 | 关 | 文件→关闭 | 关闭当前捕获文件 |
 | 重装 | 查看→重新加载 | 重新加载当前捕获文件 |
 | 查找数据包... | 编辑→查找数据包... | 根据不同条件查找数据包 |
 | 回去 | 转到→返回 | 跳回封包历史 |
 | 向前 | 前进→前进 | 在数据包历史记录中跳转 |
 | 转到数据包... | 转到→转到数据包... | 转到特定的数据包 |
 | 转到第一个数据包 | 转到→转到第一个数据包 | 跳转到捕获文件的第一个数据包 |
 | 转到最后一个数据包 | 转到→转到最后一个数据包 | 跳转到捕获文件的最后一个数据包 |
 | 在实时捕获中自动滚动 | 查看→在实时捕获中自动滚动 | 实时捕获期间自动滚动数据包列表 |
 | 上色 | 查看→着色 | 着色数据包列表(或不着色) |
 | 放大 | 查看→放大 | 放大数据包数据(增加字体大小) |
 | 缩小 | 查看→缩小 | 缩小数据包数据(减小字体大小) |
 | 正常尺寸 | 查看→正常大小 | 将缩放级别设置回100% |
 | 调整列大小 | 查看→调整列大小 | 调整列的大小,以便内容适合宽度 |
弥敦楼
内森·豪斯(Nathan House)是网络安全培训和咨询公司Station X的创始人兼首席执行官。他在网络安全领域拥有超过25年的经验,曾为全球一些最大的公司提供咨询服务,以确保数百万和数十亿英镑项目的安全。 内森(Nathan)是广受欢迎的“完整的网络安全课程”的作者,该课程已被195个国家的200,000多名学生选修。 AI的“ 2020年度网络安全教育家”奖获得者。 多年来,他在许多安全会议上发表演讲,开发了免费的安全工具,并发现了领先应用程序中的严重安全漏洞。 PGP指纹:CBA3FBF729FB00CB21D64FB00E7955AE6E37FEF1
Wireshark是一种流行的网络分析工具,可捕获网络数据包并以细粒度级别显示它们,内森感谢您共享此信息!
再次感谢内森(Nathan)提供的另一张图表。祝你有美好的一天….
伟大的小备忘单,谢谢..
您的想法。谢谢G.
精彩内容再次-
最伟大的有史以来谢谢您的备忘单!
我的荣幸。
优秀的新手修订指南和入门指南。感谢队友
谢谢
感谢你…发现您的课程非常好..am也正在做其他课程,所以即时通讯速度很慢..将打印并保存谢谢。
大
内森非常感谢您的所有分享
这是我的荣幸。继续回来!