wireshark是什么

wireshark_logo

• wireshark是一款抓取数据包的软件,通过它可以看到局域网内的通讯信息

• 在使用交换机组建局域网的时代,wireshark堪称监控局域网数据的利器,局域网的普通用户只要通过wireshark把网卡调成"混杂模式",网卡就会把局域网内能看到的数据包都接收下来,然后使用wireshark各种规则进行过滤,最终留下有价值的信息.

• 现在小型路由器的价格一降再降,路由器正逐步取代交换机.

• wireshark所在主机的上层如果是路由器,那么能看到的信息就只有和自己相关的,以普通用户的身份监控局域网的功能基本就废了.

• 但对于网络管理员来讲,可以把wireshark装在路由器系统内,依然可以监听局域网内所有的信息(较低层次无法解决的问题,对于较高层次来讲根本就不是问题,如果你的渗透能力还不错,就去"接管"路由器吧!)

• wireshark软件本身的质量很高,而且其作者也是一个很有开源精神的大牛程序员,所以我们可以在任何平台,免费使用wireshark这款优秀的抓包软件

Wireshark官网(所有非商业软件的主页都是简约大气风格!)

官网主页

Wireshark抓包原理图

抓包原理图

最基本的过滤规则

设置源主机ip为192.168.35.141

ip.src == 192.168.35.141

设置目标主机ip为192.168.35.21

ip.dst == 192.168.35.21

设置监听端口为6379

tcp.port == 6379

逻辑运算

and/ or

ip.addr == 192.168.199.2 and tcp.port == 80 过滤主机地址为192.168.199.2 并且端口为80的数据包

ip.addr == 192.168.199.1 or ip.addr == 192.168.199.2 过滤主机地址为192.168.199.1 或者主机地址为192.168.199.2的数据包

最基本的过滤规则