IP網(wǎng)絡(luò)抓包工具簡明用戶手冊.ppt

1、IP網(wǎng)絡(luò)抓包工具簡明用戶手冊,基于WireShark工具的使用 李潘迅 2010-04-28,WireShark簡介 非混雜模式下抓包 混雜模式下抓包 如何抓取特定的數(shù)據(jù)包 如何從已抓捕的數(shù)據(jù)中快速查找特定數(shù)據(jù)包,WireShark簡介,一款開源的非常專業(yè)的網(wǎng)絡(luò)抓包及分析工具！ 官方網(wǎng)站：/ 也可從我們的FTP服務(wù)器下載，路徑為： /Upload/網(wǎng)絡(luò)抓包工具,非混雜模式下抓包,非混雜模式指：WireShark只抓取指定網(wǎng)卡上的發(fā)出與接收的數(shù)據(jù)包，與指定網(wǎng)卡無關(guān)的數(shù)據(jù)包將被忽略。 使用方法見下一頁,混雜模式下抓包,混雜模式指：WireShark能夠

2、抓取主機所在局域網(wǎng)內(nèi)的全部網(wǎng)絡(luò)包，即局域網(wǎng)內(nèi)其他主機之間的通信數(shù)據(jù)包也能被抓獲，我們經(jīng)常使用此模式。 使用方法見下一頁,如何抓取特定的數(shù)據(jù)包,當(dāng)用戶抓包時，WireShark提供了一個過濾機制，用于過濾 用戶不關(guān)注的數(shù)據(jù)包。 用戶需設(shè)置過濾表達式（滿足此表達式的數(shù)據(jù)包才被捕 獲），其格式為： not primitive and|or not primitive ：表示中括號內(nèi)的內(nèi)容為可選項 and：表示邏輯與，and兩端必須全部為真 or：表示邏輯或，or兩端只要有一個為真 not：表示邏輯非，not右端為假 |：表示二選一 ：表示尖括號內(nèi)的內(nèi)容為必選項 ：表示大括號內(nèi)的內(nèi)容為可重復(fù)0至無數(shù)次

3、的項 primitive：表示原語，其定義見下一頁,primitive有許多形式： src|dst host host表示抓取主機host上的網(wǎng)絡(luò)包 src表示host為數(shù)據(jù)發(fā)送端 dst表示host為數(shù)據(jù)接收端 如果不指定src或dst，表示host既是發(fā)送端也是接收端 tcp|udp src|dst port tcp表示抓tcp包 udp表示抓udp包 port表示抓端口為port的包 其他的與前一個primitive類同 更多的形式參考WireShark使用手冊,常用的過濾表達式1,src host 22 表示只抓取從22發(fā)出來的包 dst

4、 host 22 表示只抓取發(fā)往22的包 host 22 表示即抓取發(fā)往22的包也抓取從22發(fā)出來的包,常用的過濾表達式2,udp port 2002 表示只抓取源端口或目的端口為2002的UDP包 portrange 2001-2020 表示只抓取源端口或目的端口在2001,2020閉區(qū)間內(nèi)的UDP包 dst host 22 and dst udp port 2002 表示只抓取發(fā)往22:2002的UDP包,更多的過濾表達式,

5、參考： /CaptureFilters,如何從已抓捕的數(shù)據(jù)中快速查找特定數(shù)據(jù)包,當(dāng)用戶已經(jīng)抓捕了大量的網(wǎng)絡(luò)包，如果要在之中查找某個特 定的包，不可能一個一個的去檢查，WireShark為用戶提供 了另一個過濾機制， 下圖為某用戶已經(jīng)抓取了大量的數(shù)據(jù)包：,如果該用戶想查找 目的端口等于8888，且源 IP為05的 UDP包時，用如下過 濾表達式： udp.port = 8888 and ip.src=05 見下圖：,查找數(shù)據(jù)包時的過濾表達式,參考1：/DisplayFilters 參考2：WireShark自帶的用戶手冊 再填寫表達式時，用戶輸入