Wireshark的抓包及过滤规则实验

1、Wireshark 的抓包及过滤规则实验Wireshark是世界上最流行的网络分析工具。 这个强大的工具可以捕捉网络中的数据， 并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样，Wireshark也使用pcapnetworklibrary来进行封包捕捉。Wireshark的优势：- 安装方便。- 简单易用的界面。- 提供丰富的功能。Wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司，并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个新名字也就应运而生

2、了。实验一抓ARP包一：安装并运行wireshark开始捕获数据包，如图所示点击第二行的start开始捕获数据包。:几分钟后就捕获到许多的数据包了，主界面如图所示:如上图所示，可看到很多捕获的数据。第一列是捕获数据的编号;第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是数据包的信息。选中第一个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三部分。上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据三：开始分析数据在下图中Filter后面的编辑框中输入：arp（注意是小写），然后回车或者点击“Apply按钮

3、截图（替换掉该图）现在只有ARP协议了，其他的协议数据包都被过滤掉了。注意到中间部分的三行前面都有一个“+；点击它，这一行就会被展开。如下图所示：UIJjjlFrame15btescmwire.&QtQftcscptijrdr)*EthernILSr-：:口气mg沪。十：俄(OU幻：北上Dst5&road：a$t(ff-ffrff至Act*日feesolurIonprotocolCr&quesr)截图（替换掉该图）现在展开第一行。看到的结果如下:餐F厂即七2Uubyte苴unMir已2 匚*pKuEd)Aj-rlwdlTim白：Dec2r20CB15：1OJ1S.731

4、0250QDTimedeHafromp广总dseJipturdam卓；。.13838。00secondsTimedeltafrcmpreviQU5displayedframe:4.7M371000secondsTlmtslfKt广orfirstfrwit：4,704371000&orbds)FrweHutfriier;15frameLength:bytesCaptureLerigth:60bytesFrane11mirkedrfalsfiprDTocolaInehurpColoringRule也协2：ARPColcrlrwiPuleString:arpLiEthfr-natII,5rc

5、iEl11egro2d；e7idtDs.t:Braidcast(f：ftf./j.d4ressQluiionPrs#：。1frequ)截图（替换掉该图）在上图中我们看到这个帧的一些基本信息:帧的编号：帧的大小：帧被捕获的日期和时间：帧距离前一个帧的捕获时间差：帧距离第一个帧的捕获时间差：帧装载的协议：现在展开第二行:h0号厂nutI工.5工二胃d；噂Ont：Bra-ds，二产；F*:手胥=fT;foadcAFC;J而QW“芍工什才十：，九忏什:ft)-wB1-h.KMt;STGMD越C3(.flultst/brsaidcast).r.,1.r.-.r e 一-J。&H31口门11*沏I

6、fM丁时电伺45日ft4dlsHFCTTH+二口厂产才勺收?-auyej后11f:如fW：豺e(7：(十。血re3；El在物严看/日逢大d6(DO；：Od：3dstrciB.)一一一八.一一一h八,-MhltlmcriivltiullJiddr*S(UMCT.i0-4.,.ILGbit:Globallyuniijeaddresi%U5dflfdirltJTpe:APP(Q.ijfrjftJ“41=：。凶38W(taXQN旧1313WflyQKWi：:截图（替换掉该图）我们可以看到：目的地址（Destination）:源地址（Source）:帧中封装的协议类型:Trailer：是协议中填充的数据

7、，为了保证帧最少有64字节。展开第三行:=1鸟弓PesoIutianProtocol(request)kardwreCooooi)protocoltype:IPf0.0800)Harckareize:6(Protocolsize:4Opcode:request(0 x0001)SenderMACaddress:El1tiegro_2id:e7:db(00:0di:87:2d:e7:db)senderIPadtfress：192,1e8.1.131a92,lftS,1,131TirgetHACaddress:SQ:00zD0_00:00:Qj(00:OGzOO:DUIOICJ)TargetIPa

8、ddress： 192.16B.1.168(192.168.1,16S)地址解析协议硬件类型：协议类型：硬件大小：协议大小：发送方MAC地址：发送方IP地址：目的MAC地址：目的IP地址：实验二捕获过滤器的使用JjlLDJ100020UQ3O4dj,*siB*solqt.独Pr钙pthzkwlfU;即KiMwk.d0WireShark捕获过滤语法1 .过滤IP,如来源IP或者目标IP等于某个IP例子：ip.srceq07orip.dsteq07或者ip.addreq07/都能显示来源IP和目标IP实验：设置源IP并（或）目的IP

9、的过滤语法并截图截图并说明过滤语法是什么2 .过滤端口例子：tcp.porteq80/不管端口是来源的还是目标的都显示tcp.port=80tcp.porteq2722tcp.porteq80orudp.porteq80udp.porteq15000过滤端口范围tcp.port=1andtcp.port=80截图并说明过滤语法是什么tcp.dstport=80/只显tcp协议的目标端口80tcp.srcport=80/只显tcp协议的来源端口80实验：设置源端口并（或）目的端口的过滤语法（TCP或UDP）并截图3.过滤协议例子：tcpudparpicmphttpsmtpftpdnsmsnmsi

10、pssloicqbootp排除arp包，如!arp或者notarp实验：设置DNS和HTTP的过滤语法并截图截图并说明过滤语法是什么4 .过滤MAC太以网头过滤eth.dst=A0:00:00:04:C5:84/eth.srceqA0:00:00:04:C5:84/eth.dst=A0:00:00:04:C5:84eth.dst=A0-00-00-04-C5-84eth.addreqA0:00:00:04:C5:84/过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84实验：设置源MAC并（或）目的MAC的过滤语法并截图过滤目标mac过滤来源mac截图并说明过滤语法是什么5 .包

11、长度过滤lessthan小于=7指的是ip数据包（tcp下面那块数据）,不包括tcp本身ip.len=94除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后frame.len=119整个数据包长度，从eth开始到最后eth-iporarp-tcporudp-data实验：设置包长度过滤语法（采用大于等于ge和小于等于le）并截图截图并说明过滤语法是什么6 .http模式过滤例子：http.request.method=GEThttp.request.method=POSThttp.request.uri=/img/logo-edu.gifhttpcontainsGEThttp

12、containsHTTP/1./GET包http.request.method=GET&httpcontainsHost:http.request.method=GET&httpcontainsUser-Agent:/POST包http.request.method=POST&httpcontainsHost:http.request.method=POST&httpcontainsUser-Agent:/响应包httpcontainsHTTP/1.1200OK&httpcontainsContent-Type:httpcontainsHTTP/1.0200OK&httpcontainsContent-Type:一定包含如下Content-Ty