wireshark—报文分析工具培训VIP免费

报文分析工具培训 一、 w ireshark 介绍（功能、基本使用方法、帮助） wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包， 并尝试显示包的尽可能详细的情况。 1. w ireshark 功能：  支持UNIX和Windows平台  在接口实时捕捉包  能详细显示包的详细协议信息  可以打开/保存捕捉的包  可以导入导出其他捕捉程序支持的包数据格式  可以通过多种方式过滤包  多种方式查找包  通过过滤以多种色彩显示包  创建多种统计分析  „ 2. w ireshark 基本使用方法： （1）、双击“桌面图标”或执行文件“wireshark.exe” （2）、进入wireshark 主界面后，点击左上角图标 （3）、在弹出的“抓包网卡选项”中，选择自己机器的物理网卡，并点击“Start”，开始抓包录制工作。（此处，我抓包使用的物理网卡为：192.168.100.61） 此时，软件抓包显示区域内数据不断变化 （4）、点击w ireshark 停止键，结束抓包过程 （5）、点击w ireshark 软件左上角“File”后，选择“Save”选项，在弹出的对话框中，输入存档文件名后，点击“保存”，完成数据包存储工作。 3. w ireshark 帮助 选择主菜单中的“Help”项，出现帮助菜单。 帮助菜单包含以下几项： Contents：打开一个基本的帮助系统。 Manu al Pages：使用手册（HTML 网页） Su pported Protocols：Wireshark 支持的协议清单 Abou t Wireshark：弹出信息窗口显示Wireshark 的一些相关信息，如插件，目录等 二、 w ireshark 抓取报文高级使用 在开始抓包前，点击“Filter” 在“Filter string”项，输入过滤条件，点击“OK” 1. 根据MAC 地址过滤条件抓取报文 太以网头过滤 eth.dst == A0:00:00:04:C5:84 // 过滤目标mac eth.src eq A0:00:00:04:C5:84 // 过滤来源mac eth.dst==A0:00:00:04:C5:84 eth.dst==A0-00-00-04-C5-84 eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC 和目标MAC 都等于A0:00:00:04:C5:84 的 2. 根据IP 地址过滤条件抓取报文 如来源IP 或者目标IP 等于某个IP ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP 和目标IP 3. 根据TCP 协议过滤条件抓取报文 tcp 4. 根据UDP 协议过滤条件抓取报文 u dp 5. 根据端口过滤条件抓取报文 tcp.port eq 80 // 不管...