wireshark 抓包
所属分类 wireshark
浏览量 858
抓包软件总体分为两类
设置代理抓取http包,比如Charles、mitmproxy 等
直接抓取经过网卡的所有协议包,wireshark 以及 linux自带的tcpdump
tcpdump 是 命令行工具,抓取到的包不易于分析,
通常将tcpdump抓到的包输出到某个文件,然后用wireshark分析
https://www.wireshark.org/
capture filter 和 Display filter
capture filter 将不符合过滤条件的包进行舍弃
Display filter 在已抓到的包中,将对应的包进行过滤
注意两种 filter 写法是不一样的
capture filter
先选择网络接口
wifi:en0
loopback:lo0
再设置过滤表达式
port 8080
host codefun007.xyz
时间格式设置
view / time display format
tcp src port 8080
ip src host 127.0.0.1
port 8080
host codefun007.xyz
src portrange 8080-8090
not imcp (ping 使用 icmp)
src host 10.7.2.12 and not dst net 10.200.0.0/16
(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8
捕获HTTP流量
port 80 or port 443
捕获DNS流量
port 53
捕获特定主机的流量
host codefun007.xyz
Display filter
ip.addr == 10.1.1.1
ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
ip.src == 10.230.0.0/16 显示来自10.230网段的封包
tcp.port == 25 显示来源或目的TCP端口号为25的封包
tcp.dstport == 25 显示目的TCP端口号为25的封包
http.request.method== "POST" 显示post请求方式的http封包
http.host == "tracker.1ting.com" 显示请求的域名为tracker.1ting.com的http封包
tcp.flags.syn == 0×02 显示包含TCP SYN标志的封包
tcp contains "http" 显示payload中包含"http"字符串的tcp封包
http.request.uri contains "online" 显示请求的uri包含"online"的http封包
upper(http.request.uri) contains "ONLINE"
ip.addr==171.10.191.10
tcp.port == 80 || tcp.port == 443
抓取 访问 个人博客的 http 请求和响应
capture filter
host codefun007.xyz
Display filter
http
tcpdump使用简介
上一篇
下一篇
pip 常用命令
fate1.8 源码笔记
fateboard 源码笔记
fate flow 命令行 请求 抓包分析
网络报文分析利器eBPF简介
python3-001 基础语法