Wireshark-流量分析学习

学习流量分析

数据包文件后缀

当保存抓取到的数据包时,默认后缀为pcapng,还可以选择改为pcap等后缀:

主页面信息

显示调整

增加列

如,将TTL添加为列:找到一个TTL,右键-应用为列:

添加之后:

修改列名称

如,修改Time to live为TTL,则右键Time to live-编辑列:

在标题输入TTL,点击ok即可:

删除列

鼠标移动到列名-右键-删除

时间格式设置

数据包操作

标记/取消标记数据包

鼠标移动到数据包-右键-标记

添加数据包注释

鼠标移动到数据包-右键-分组注释

之后点击该数据包即可看到注释:

显示过滤器

过滤IP:

ip.addr == 192.168.1.2
ip.src == 
ip.dst == 

过滤端口:

tcp.port == 80
tcp.srcport == 
tcp.dstport == 
tcp.flag.syn == 1

过滤协议:

arp
tcp
udp
not http    

比较操作符:

!=  不等于
==  等于
<   
>
>=
<=

逻辑操作符:

and
or
xor 有且仅有一个条件被满足
not 没有条件满足

包含:

http contains "abc.txt"

高级功能

数据流追踪

可以将TCP、UDP、SSL等数据流进行重组并完整呈现出来