Wireshark 常用规则

一、安装
 以root用户运转:yum install wireshark
 
二、运行
 在终端中键入命令:
#wireshark
 bash:wireshark:command not found
 
 #whereis wireshark
 wireshark: /usr/lib/wireshark /usr/share/wireshark
 
 #cd /usr/lib/wireshark
 #ls
 plugins
 
 #cd /usr/share/wireshark; ls
 AUTHORS-SHORT  dtds          mergecap.html  tshark.html
 capinfos.html  dumpcap.html  radius          wimaxasncp
 cfilters      editcap.html  rawshark.html  wireshark-filter.html
 colorfilters  help          services        wireshark.html
 COPYING        idl2wrs.html  smi_modules    ws.css
 dfilters      ipmap.html    text2pcap.html
 diameter      manuf        tpncp
 
化解办法:

 
 yum search wireshark(寻觅相称特定字符的rpm包)
yum install wireshark-gnome.i386(wireshark的图形界面)
 
 #whereis wireshark
 wireshark: /usr/bin/wireshark /usr/sbin/wireshark /usr/share/wireshark
/usr/share/man/man1/wireshark.1.gz
 
 #wireshark
 
成功!

Wireshark常用过滤规则:

使用

过滤IP地址:
ip.addr == 192.168.47.2

查看TCP通讯包,在过滤条件中写入 tcp ;Apply;

过滤目标地点:
ip.dst == 192.168.43.2

图片 1

过滤源地址:
ip.src == 59.110.42.77

翻看钦定端口的包:在过滤条件中输入 tcp.port eq 7905 

过滤tcp 80端口和udp 80端口数据( || 表示或):
tcp.port == 80 || udp.port == 80

图片 2

过滤指标端口为80的数目:
itcp.dstport==80

翻看钦命IP的包:ip.addr eq 192.168.1.104

过滤源端口为80的多寡:
tcp.srcport==80

查阅钦点IP和PORT的包:ip.addr eq 192.168.1.104 and tcp.port eq 7905

过滤协议(直接输入协议名称):
http

网络抓包工具Wireshark的大致利用
http://www.linuxidc.com/Linux/2013-05/84174.htm

http格局过滤:
过滤get包,http.request.method==”GET”
过滤post包,http.request.method==”POST”

Ubuntu 12.04
下安装Wireshark
http://www.linuxidc.com/Linux/2012-06/63582.htm

过滤三种规格时,使用and连接:
过滤ip为192.168.101.8并且为http协议,ip.src==192.168.101.8 and http

Linux中从普通用户运维Wireshark抓包
http://www.linuxidc.com/Linux/2012-06/63580.htm

过滤端口范围:
tcp.port >= 1 and tcp.port <= 80

发表评论

电子邮件地址不会被公开。 必填项已用*标注