Wireshark 的使用与数据分析（二）

2.1、设置Packet List面板列

Wireshark默认包含了几列显示基本信息，如果只想关注其中的某一列数据，可以使用添加列的方法。如下图所示，在展开的数据包中选择需要查看的字段（这里是Time to live），右键选择“应用为列”，这一列就会出现在Packet List面板中。





还有另一种方法也可以实现类似的效果，在编辑--首选项菜单中选择列，除了可以看到已经存在的列之外，同样可以实现添加列、调整列的顺序、重命名等操作





此外，若是想输出某一列的内容，也可以在 文件--导出分组解析结果--as CSV 命令，将所抓的包的信息展示为表格保存起来。



2.2、选择捕获接口

实际上我们在使用Wireshark捕获数据之前，要选择捕获接口，最常见的就是自己电脑的某一块网卡。那我的电脑为例，现在连接了网线（以太网），但也支持Wlan和其他的一些网络接口，所以才需要我们做选择。稍微留意的话可以看到这个界面上还有“输出”和“选项”这两个功能，这个实际上是为了解决我们长时间抓包所需。因为Wireshark上抓的包会保存在内存中，如果你想抓好几个小时，你电脑会撑不住的，所以我们可以通过这两个选项将一定大小的包自动保存，不至于使整个文件过大。



2.3、设置捕获过滤器

在上文的图片中可以看到，再开始抓包前不止是选择捕获接口，也可以设置捕获过滤器。需要和之后会提到的显示过滤器相区分开，如果设置了捕获过滤器，一些特定的报文就会被过滤掉，如果过滤条件设置有误就需要重新抓包。所以通常可以不设置捕获过滤器而是使用显示过滤器来显示对应的报文，但相对来说后一种操作报文会更大。



2.3.1捕获单个IP地址数据

IP地址为网络上每一台主机设置了一个逻辑地址来唯一标识，可以使用以下命令设置捕获过滤器：

·host 192.168.1.100：捕获到达/源于192.168.1.100地址的报文；

·host 1234:4321::04e3：捕获来自/源于这个IPv6地址1234:4321::04e3的数据；

·not host 192.168.1.100：捕获除了到达/来自192.168.1.100以外的报文；

·src 192.168.1.100：捕获来自192.168.1.100的报文；

·dst 192.168.1.100：捕获到达192.168.1.100的报文；

·host 192.168.1.100 or 192.168.1.111：捕获来自/到达192.168.1.100和192.168.1.111的数据；

host www.baidu.com：捕获解析来自百度网站的交互数据；



2.3.1捕获单个IP地址数据

·net 192.168.0.0/24：捕获到达/来自192.168.0.0网络中的任何主机数据，也可以写成net 192.168.0.0 mask 255.255.255.0；

·ip6 net 1234:4321::/64：捕获到达/来自1234:4321::这个地址的任何主机数据；

·not dst net 192.168.0.0/24：捕获除目的地址是192.168.0.0网段外的任何数据；

·dst net 192.168.0.0/24：捕获到达192.168.0.0网段的数据；

·src net 192.168.0.0/24：捕获来自192.168.0.0网段的数据；



2.3.2捕获广播或是组播地址

当IP地址全为1时即为广播地址，目的地址为广播时会向整个局域网内传输数据；组播在IPv4中被称作为D类地址，范围为224.0.0.0-239.255.255.255。

·ip broadcast：捕获广播地址数据；

·ip muliticast：捕获组播的数据；



2.3.3捕获MAC地址

·ether host 00:01:02:03:04:05：捕获到达/来自00:01:02:03:04:05此主机的数据；

·ether src 00:01:02:03:04:05：捕获来自00:01:02:03:04:05的数据；

·ether dst 00:01:02:03:04:05：捕获到达00:01:02:03:04:05的数据；

not ether host 00:01:02:03:04:05：捕获不是到达/来自00:01:02:03:04:05的数据；



2.3.4捕获基于端口号的数据

大部分协议和程序都有自己的端口号，可以通过抓取特定端口号来过滤这些数据。

·port 53：捕获到达/来自53端口的数据（DNS）；

·not port 53：捕获除了53端口外的数据；

·port 80：捕获经过80端口的数据（http协议）；

·udp port 67：捕获经过67端口的udp数据（DHCP）；

·tcp port 21：捕获经过21端口的tcp数据（ftp协议）；

·portrange 1-80：捕获经过1-80端口的数据；

·tcp portrange 1-80：捕获经过1-80端口的tcp数据；



资料参考：《Wireshark数据包分析实战详解》



OK，这次就到这里，下次应该会着重介绍一下显示过滤器相关的使用技巧。本来说这篇文章上周末更新，后来也耽误了，看来，坚持一件事还真是挺难的，但不管怎么说，我会尽量保证每周更新一篇，可能是周三也可能是周五。