报文分析工具培训 一、 w ireshark 介绍(功能、基本使用方法、帮助) wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。 1. w ireshark 功能: 支持UNIX和Windows平台 在接口实时捕捉包 能详细显示包的详细协议信息 可以打开/保存捕捉的包 可以导入导出其他捕捉程序支持的包数据格式 可以通过多种方式过滤包 多种方式查找包 通过过滤以多种色彩显示包 创建多种统计分析 „ 2. w ireshark 基本使用方法: (1)、双击“桌面图标”或执行文件“wireshark.exe” (2)、进入wireshark 主界面后,点击左上角图标 (3)、在弹出的“抓包网卡选项”中,选择自己机器的物理网卡,并点击“Start”,开始抓包录制工作。(此处,我抓包使用的物理网卡为:192.168.100.61) 此时,软件抓包显示区域内数据不断变化 (4)、点击w ireshark 停止键,结束抓包过程 (5)、点击w ireshark 软件左上角“File”后,选择“Save”选项,在弹出的对话框中,输入存档文件名后,点击“保存”,完成数据包存储工作。 3. w ireshark 帮助 选择主菜单中的“Help”项,出现帮助菜单。 帮助菜单包含以下几项: Contents:打开一个基本的帮助系统。 Manu al Pages:使用手册(HTML 网页) Su pported Protocols:Wireshark 支持的协议清单 Abou t Wireshark:弹出信息窗口显示Wireshark 的一些相关信息,如插件,目录等 二、 w ireshark 抓取报文高级使用 在开始抓包前,点击“Filter” 在“Filter string”项,输入过滤条件,点击“OK” 1. 根据MAC 地址过滤条件抓取报文 太以网头过滤 eth.dst == A0:00:00:04:C5:84 // 过滤目标mac eth.src eq A0:00:00:04:C5:84 // 过滤来源mac eth.dst==A0:00:00:04:C5:84 eth.dst==A0-00-00-04-C5-84 eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC 和目标MAC 都等于A0:00:00:04:C5:84 的 2. 根据IP 地址过滤条件抓取报文 如来源IP 或者目标IP 等于某个IP ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP 和目标IP 3. 根据TCP 协议过滤条件抓取报文 tcp 4. 根据UDP 协议过滤条件抓取报文 u dp 5. 根据端口过滤条件抓取报文 tcp.port eq 80 // 不管...