Wireshark抓包
记录一下Wireshark使用
过滤器
捕获过滤器
捕获过滤器表达式作用在wireshark开始捕获数据包之前,只捕获符合条件的数据包
表达式语法
| 协议列表 |
|---|
| tcp |
| udp |
| arp |
| tcp |
| ip |
| ip6 |
| 逻辑关键字 |
|---|
| or |
| and |
| 取反关键字 |
|---|
| no |
案例
协议是
tcp并且端口号是4431
2
3tcp port 443
# 或
tcp port https协议是
tcp并且端口号不是4431
tcp and not port 443
域名是
baidu.com1
2
3host baidu.com
# 或
host 220.181.38.148网卡的mac地址
1
ether host 00:00:5e:00:53:10
显示过滤器
显示过滤器表达式作用在在wireshark捕获数据包之后,从已捕获的所有数据包中显示出符合条件的数据包,隐藏不符合条件的数据包。
表达式语法
| 逻辑关键字 |
|---|
| || |
| && |
| 取反关键字 |
|---|
| ! |
案例
- IP地址是
106.152.175.199并且端口号是561471
ip.addr == 106.152.175.199 && tcp.port == 56147
- IP地址是
106.152.175.199并且端口号不是561471
ip.addr == 106.152.175.199 && tcp.port != 56147
- 目标IP地址是
106.152.175.199并且源IP地址是16.52.175.1991
ip.dst == 106.52.175.199 && ip.src == 16.52.175.199
- url中包含.js的http数据包
1
http.request.uri contains ".js"
- 内容包含username的http数据包
1
http contains "username"
捕获HTTPS数据(MacOS)
- 命令行启动谷歌浏览器,并指定
ssl-key-log-file=/tmp/.ssl-key.log1
/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --user-data-dir=/tmp/chrome --ssl-key-log-file=/tmp/.ssl-key.log
- 配置Wireshark,依次打开
首选项->protocol->TLS - 在输入框内输入
/tmp/.ssl-key.log
- 在新开启的浏览器窗口,访问要抓取的内容