首页  

wireshark 抓包     所属分类 wireshark 浏览量 858
抓包软件总体分为两类
设置代理抓取http包,比如Charles、mitmproxy 等
直接抓取经过网卡的所有协议包,wireshark 以及 linux自带的tcpdump
tcpdump 是 命令行工具,抓取到的包不易于分析,
通常将tcpdump抓到的包输出到某个文件,然后用wireshark分析


https://www.wireshark.org/

capture filter  和  Display filter

capture filter 将不符合过滤条件的包进行舍弃
Display filter 在已抓到的包中,将对应的包进行过滤 
注意两种 filter 写法是不一样的 


capture filter 先选择网络接口 wifi:en0 loopback:lo0 再设置过滤表达式 port 8080 host codefun007.xyz 时间格式设置 view / time display format
tcp src port 8080 ip src host 127.0.0.1 port 8080 host codefun007.xyz src portrange 8080-8090 not imcp (ping 使用 icmp) src host 10.7.2.12 and not dst net 10.200.0.0/16 (src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8 捕获HTTP流量 port 80 or port 443 捕获DNS流量 port 53 捕获特定主机的流量 host codefun007.xyz
Display filter ip.addr == 10.1.1.1 ip.src != 10.1.2.3 or ip.dst != 10.4.5.6 ip.src == 10.230.0.0/16 显示来自10.230网段的封包 tcp.port == 25 显示来源或目的TCP端口号为25的封包 tcp.dstport == 25 显示目的TCP端口号为25的封包 http.request.method== "POST" 显示post请求方式的http封包 http.host == "tracker.1ting.com" 显示请求的域名为tracker.1ting.com的http封包 tcp.flags.syn == 0×02 显示包含TCP SYN标志的封包 tcp contains "http" 显示payload中包含"http"字符串的tcp封包 http.request.uri contains "online" 显示请求的uri包含"online"的http封包 upper(http.request.uri) contains "ONLINE" ip.addr==171.10.191.10 tcp.port == 80 || tcp.port == 443
抓取 访问 个人博客的 http 请求和响应 capture filter host codefun007.xyz Display filter http
tcpdump使用简介

上一篇     下一篇
pip 常用命令

fate1.8 源码笔记

fateboard 源码笔记

fate flow 命令行 请求 抓包分析

网络报文分析利器eBPF简介

python3-001 基础语法