使用WireShark搜索想要的包(简约版)
我们通过tcpdump从服务器抓下来的包,通过WireShark打开后,是一堆原始数据。如何在成千上万条原始数据中找到我们想要的数据呢?本文章提供两个最常用的方法供大家参考。WireShark提供两个搜索栏供大家使用,一个搜索栏在主页面正上方,中间有“应用显示过滤器的字样”,我们可以在这个搜索栏中输入例如来源Ip,目标Ip,端口等条件来检索数据,下面写几个最常用的:
所有ip为10.45.1.1发送给端口为80或者80端口发出的tcp包:
ip.src == 10.45.1.1 && tcp.port == 80
所有TCP长度大于7byte的包:
tcp.len >= 7
所有http协议方法为POST,Path为/api/getUser.do的包
http.request.method=="POST" && http.request.uri == "/api/getUser.do"
显示包含TCP SYN标志的封包:
tcp.flags.syn == 0x02
tcp.window_size == 0 && tcp.flags.reset != 1
WireShark还允许精准的字符串搜索,在MAC系统中,COMMAND+F就能把字符串搜索给调出来,我们选择下过滤器,一般我都会选择字符串过滤器。
对于这个搜索栏,有多个选项,第一个选项最重要,选择分组字节流才能将所有包内容一网打尽,如果知道自己包的编码,也一定要选择正确的编码才行,然后填写完字符串后就能搜索了:
搜索完成后,页面会自动跳转到搜索结果条上去,搜索结果那一行会变灰,然后我们右键选择搜索出来的那一行,然后选择追踪流-》TCP流,就能看到传输的内容了:
PS,如果在MAC本机抓包,WireShark会提示没有网卡访问权限,这个时候执行下面的命令即可:
sudo chmod 777 /dev/bpf*
绛旓細鏈潵鎼滅储鍔熻兘鏄竴涓畝鍗曠殑鍔熻兘锛屽苟涓嶉渶瑕佸啓绗旇鐨勩備絾鏄Wireshark榛樿鐨勮缃苟涓嶆庝箞鍚堢悊锛屽鑷寸浉姣斾簬鍏朵粬杞欢锛屾湁鐐逛笉閭d箞浜烘у寲銆 Wireshark涓殑鎼滅储鍖呭姛鑳藉彨鍋氣淔ind Packet鈥濓紝鍙互鍦ㄣ怑dit銆->銆怓ind Packet銆戜腑鎵撳紑銆 涓轰簡鏇存柟渚跨殑鎻忚堪鎼滅储鍔熻兘璇ユ庝箞鐢锛屾垜鎶婃搷浣滄楠ゅ啓鍦ㄤ簡涓嬮潰鐨勮繖寮犲浘涓細...
绛旓細WireShark鎻愪緵涓や釜鎼滅储鏍忎緵澶у浣跨敤锛屼竴涓悳绱㈡爮鍦ㄤ富椤甸潰姝d笂鏂癸紝涓棿鏈夆滃簲鐢ㄦ樉绀鸿繃婊ゅ櫒鐨勫瓧鏍封濓紝鎴戜滑鍙互鍦ㄨ繖涓悳绱㈡爮涓緭鍏ヤ緥濡傛潵婧怚p锛岀洰鏍嘔p锛岀鍙g瓑鏉′欢鏉ユ绱㈡暟鎹紝涓嬮潰鍐欏嚑涓渶甯哥敤鐨:鎵鏈塱p涓10.45.1.1鍙戦佺粰绔彛涓80鎴栬80绔彛鍙戝嚭鐨則cp鍖咃細ip.src == 10.45.1.1 && tcp.port == 80...
绛旓細瀵逛簬鏁版嵁鍖呬腑鐨勫瓧娈电瓫閫夛紝鎴戜滑鍙互浣跨敤Wireshark鐨凞isplay Filter鍔熻兘銆備娇鐢―isplay Filter鏃讹紝鍙互鎸囧畾闇瑕佺瓫閫夌殑瀛楁鍜岀浉鍏虫潯浠讹紝浠庤屽揩閫熷畾浣嶆劅鍏磋叮鐨勬暟鎹寘銆備緥濡傦紝鎴戜滑鍙互浣跨敤浠ヤ笅filter瀵圭洰鏍嘔P鍦板潃涓192.168.0.1鐨勬暟鎹寘杩涜绛涢夛細ip.addr == 192.168.0.1銆傞櫎浜咺P鍦板潃涔嬪锛學ireshark杩樻敮鎸佸鍚勭鍗...
绛旓細寰堢畝鍗曪紝鐧惧害鎼滅储WireShark锛屽氨浼氱湅鍒颁笅杞藉湴鍧銆備簩銆浣跨敤WireShark 鍥犱负WireShark鏄嫳鏂囪蒋浠讹紝鎵浠ヤ綘闇瑕佷竴浜涘繀瑕佺殑鑻辨枃鍩虹銆傛墦寮杞欢鐣岄潰 1銆佸紑濮嬫姄鍖 閫変腑浣犻渶瑕佺殑缃戝崱锛岀偣鍑籹tart鍗冲彲寮濮嬫姄鍖咃紝鍦ㄨ繖涓椂鍊欒纭繚浣鎯宠鎶撶殑鍖呬細閫氳繃浣犻夋嫨鐨勭綉鍗°備竴鑸仛娉曟槸鍦ㄧ數鑴戜笂鎻掍竴鍧楁棤绾跨綉鍗★紝鐒跺悗璁╀綘鐨勮澶囪繛鎺ヨ鏃...
绛旓細鍙互鐪嬪埌鍚勯氳繃璇ョ綉缁滄帴鍙g殑鏁版嵁鎶ユ枃琚姄鍙栧埌锛屽鏋鎯宠鍙湅鑷繁鍏冲績鐨勬暟鎹寘锛屽垯鍙互鍦‵ilter鏍忎腑杈撳叆杩囨护鏉′欢鍗冲彲;杩囨护鏉′欢鏈夊绉嶏紝鍏蜂綋鍙互閫氳繃鐧惧害鎼滅储wireshark鍖呰繃婊ゆ潯浠惰繘琛鏌ユ壘銆傝嫢娌℃湁鎶撳彇鍒版兂瑕佺殑鏁版嵁鍖咃紝鍒欑偣鍑婚噸鏂版姄鍙栨寜閽氨鍙互鍙;鎴栨姄鍙栧埌涓汉闇瑕佺殑鏁版嵁鍖呬箣鍚庯紝鍙互鐐瑰嚮绾㈣壊鐨勫仠姝㈡寜閽嵆鍙
绛旓細Wireshark锛堝墠绉癊thereal锛夋槸涓涓綉缁滃皝鍖呭垎鏋愯蒋浠躲傜綉缁滃皝鍖呭垎鏋愯蒋浠剁殑鍔熻兘鏄挿鍙栫綉缁滃皝鍖咃紝骞跺敖鍙兘鏄剧ず鍑烘渶涓鸿缁嗙殑缃戠粶灏佸寘璧勬枡銆Wireshark浣跨敤WinPCAP浣滀负鎺ュ彛锛岀洿鎺ヤ笌缃戝崱杩涜鏁版嵁鎶ユ枃浜ゆ崲銆傜綉缁滃皝鍖匸鍒嗘瀽杞欢鐨勫姛鑳藉彲鎯冲儚鎴 "鐢靛伐鎶甯堜娇鐢ㄧ數琛ㄦ潵閲忔祴鐢垫祦銆佺數鍘嬨佺數闃" 鐨勫伐浣 - 鍙槸灏嗗満鏅Щ妞嶅埌缃戠粶涓...
绛旓細Wireshark锛堜互鍓嶇О涓篍thereal锛夋槸涓涓綉缁滄暟鎹寘鍒嗘瀽杞欢锛屽姛鑳芥槸鎶撳彇缃戠粶鏁版嵁鍖咃紝骞跺敖鍙兘璇︾粏鐨勬樉绀哄嚭鏁版嵁鍖呯殑淇℃伅锛堝浣跨敤鐨勫崗璁紝IP鍦板潃锛岀墿鐞嗗湴鍧锛屾暟鎹寘鐨勫唴瀹癸紝鑰屼笖杩樺彲浠ユ牴鎹笉鍚岀殑灞炴у皢鎶撳彇鐨勬暟鎹寘杩涜鍒嗙被锛夈傛讳箣锛岃杞欢鏄竴娆惧緢濂界殑鎶撳彇锛岀粺璁★紝鍒嗘瀽鏁版嵁鍖呯殑杞欢 ...
绛旓細• 澶氱鏂瑰紡鏌ユ壘鍖• 閫氳繃杩囨护浠ュ绉嶈壊褰╂樉绀哄寘• 鍒涘缓澶氱缁熻鍒嗘瀽• 鈥﹁繕鏈夎澶氫笉绠℃庝箞璇,瑕佹兂鐪熸浜嗚В瀹冪殑寮哄ぇ,鎮ㄨ繕寰浣跨敤瀹冩墠琛屽浘1.1. Wireshark鎹曟崏鍖呭苟鍏佽鎮ㄦ瑙嗗叾鍐 1.1.3. 鎹曟崏澶氱缃戠粶鎺ュ彛Wireshark 鍙互鎹曟崏澶氱缃戠粶鎺ュ彛绫诲瀷鐨勫寘,鍝曟槸鏃犵嚎灞鍩熺綉鎺ュ彛銆傛兂浜嗚В鏀寔鐨勬墍鏈夌綉缁滄帴鍙g被鍨, 鍙互...
绛旓細鍦wireshark鎶撶殑涓冨彿MAP淇′护鍖呬腑,鏈夋椂閫変腑涓鏉″悗,浼氳嚜鍔ㄥ湪鏌愪竴鏉′笂鏍囩ず鍑虹偣鎴栧鍕,鑷繁鐞嗚В搴旇鏄繖涓ゆ潯鏈夌浉瀵瑰簲鐨勫璇濇秷鎭,浣嗘煡鐪嬪唴瀹瑰苟鏃犲叧鑱斾俊鎭,璇峰ぇ绁炴寚鏁欎笅鏄粈涔堝惈涔?... 鍦╳ireshark鎶撶殑涓冨彿MAP淇′护鍖呬腑,鏈夋椂閫変腑涓鏉″悗,浼氳嚜鍔ㄥ湪鏌愪竴鏉′笂鏍囩ず鍑虹偣鎴栧鍕,鑷繁鐞嗚В搴旇鏄繖涓ゆ潯鏈夌浉瀵瑰簲鐨勫璇濇秷鎭,浣...
绛旓細鍦∕IUI璁惧涓婃墦寮鎷ㄥ彿鐩橈紝杈撳叆骞剁‘璁 *#*#5959#*#*鍏佽璁惧寮濮嬫敹闆嗚摑鐗欐棩蹇楋紝姝ゆ椂钃濈墮鑰虫満浼氭彁绀烘柇寮杩炴帴锛岄殢鍚庨噸鏂拌繛鎺ュ啀娆¤緭鍏 *#*#5959#*#*锛屽仠姝㈡棩蹇楁敹闆嗭紝骞朵繚瀛樺埌MIUI/debug_log/common/btsnoop_hci.log鏂囦欢涓竴鏃︽棩蹇楁枃浠跺噯澶囧氨缁紝浣跨敤Wireshark鎵撳紑瀹冦傚湪鑿滃崟鏍忛夋嫨 鏃犵嚎 > 钃濈墮璁惧锛屽悜涓...
