Wireshark_流量分析
在当今数字化的时代,网络流量分析对于确保网络的稳定运行、排查故障以及保障网络安全至关重要。Wireshark 作为一款功能强大的网络数据包分析工具,为我们提供了多种实用的功能,帮助我们深入了解网络中的数据传输情况。
1、数据包筛选
数据包筛选功能是wireshark的核心功能,比如需要筛选出特定的协议如HTTP,Telnet等,也可能需要筛选出ip地址,端口等
1.1源ip筛选
输入命令:ip.src == 地址 目的ip筛选
输入命令:ip.dst == 地址
1.2 mac地址筛选
eth.dst ==A0:00:00:04:C5:84 筛选目标mac地址
eth.addr==A0:00:00:04:C5:84 筛选MAC地址
1.3 端口筛选
tcp.dstport == 80 筛选tcp协议的目标端口为80 的流量包
tcp.srcport == 80 筛选tcp协议的源端口为80 的流量包
udp.srcport == 80 筛选udp协议的源端口为80 的流量包
1.4 协议筛选
tcp 筛选协议为tcp的流量包
udp 筛选协议为udp的流量包
1.5 mac地址筛选
eth.dst ==A0:00:00:04:C5:84
筛选目标mac地址 eth.addr==A0:00:00:04:C5:84
筛选MAC地址 arp/icmp/http/ftp/dns/ip
筛选协议为arp/icmp/http/ftp/dns/ip的流量包
1.6 端口筛选
tcp.dstport == 80 筛选tcp协议的目标端口为80 的流量包
tcp.srcport == 80 筛选tcp协议的源端口为80 的流量包
udp.srcport == 80 筛选udp协议的源端口为80 的流量包
1.7 协议筛选
tcp 筛选协议为tcp的流量包
udp 筛选协议为udp的流量包
arp/icmp/http/ftp/dns/ip 筛选协议为arp/icmp/http/ftp/dns/ip的流量包
2、数据包搜索
在wireshark界面按“Ctrl+F”,可以进行关键字搜索:
Wireshark的搜索功能支持正则表达式、字符串、十六进制等方式进行搜索,通常情况下直接使用字符串方式进行搜索。
3、数据包还原
在wireshark中,存在一个交追踪流的功能,可以将HTTP或TCP流量集合在一起并还原成原始数据,具体操作方式如下:
选中想要还原的流量包,右键选中,选择追踪流 – TCP流/UPD流/SSL流/HTTP流。
4、数据提取
Wireshark支持提取通过http传输(上传/下载)的文件内容,方法如下:
选中http文件传输流量包,在分组详情中找到data或者Line-based text data:text/html层,鼠标右键点击 – 选中 导出分组字节流。
总之,Wireshark 凭借其强大的数据包筛选、搜索、还原和数据提取功能,成为了网络工程师、安全分析师等专业人士不可或缺的工具。无论是排查网络故障、分析网络性能,还是进行网络安全审计,Wireshark 都能为我们提供有力的支持。