网络抓包软件Wireshark入门使用

下载地址:https://www.wireshark.org/download.html

基础操作

安装软件后打开,点击小帆船图标即可【开始捕获】数据;

左上角第四个小齿轮图标可以选择输入,一般选择 以太网 或者 Adapter for loopback traffic capture,抓不到目标数据可以尝试切换;

开始捕获后会得到很多数据包,如下图:

过滤数据包

数据包比较多,可以使用过滤规则来过滤数据包,大部分时候我们只需要使用ip+端口就可过滤出目标数据了,比如:

ip.addr == 127.0.0.1 and tcp.port == 8088

双击数据包即可以看到数据包的详细信息:

也可以右键“追踪流”,Wireshark 会将该 TCP 或 UDP 流中 双向通信的所有数据 按照发送顺序重新组装成一个可读的文本视图,如下图:

在Wireshark中,过滤特定端口的数据包是常见的需求,可以通过显示过滤器(Display Filter)结合端口字段和操作符来实现。

以下是围绕端口过滤的详细说明和示例:

一、基础端口过滤

  1. 过滤源端口(Source Port)
    使用tcp.srcportudp.srcport(根据协议类型)过滤特定源端口的数据包:

     
    		 tcp.srcport == 80 // 过滤源端口为80的TCP包
     
    		 udp.srcport == 53 // 过滤源端口为53的UDP包

  2. 过滤目的端口(Destination Port)
    使用tcp.dstportudp.dstport过滤特定目的端口的数据包:

     
    		 tcp.dstport == 443 // 过滤目的端口为443的TCP包
     
    		 udp.dstport == 67 // 过滤目的端口为67的UDP包

  3. 过滤任意端口(Source或Destination)
    使用tcp.portudp.port过滤源端口或目的端口为特定值的数据包:

     
    		 tcp.port == 22 // 过滤源端口或目的端口为22的TCP包
     
    		 udp.port == 123 // 过滤源端口或目的端口为123的UDP包

二、组合端口过滤

  1. 同时过滤源端口和目的端口
    使用逻辑运算符&&组合多个条件:

     
    		 tcp.srcport == 80 && tcp.dstport == 443 // 过滤源端口80且目的端口443的TCP包

  2. 过滤端口范围
    使用比较运算符(<><=>=)过滤端口范围:

     
    		 tcp.dstport >= 1024 && tcp.dstport <= 65535 // 过滤目的端口为动态端口的TCP包

  3. 过滤多个端口
    使用逻辑运算符||组合多个条件:

     
    		 tcp.dstport == 80 || tcp.dstport == 443 // 过滤目的端口为80或443的TCP包
 

三、高级端口过滤示例

  1. 过滤特定服务的端口

    • 过滤SSH(22)或Telnet(23)流量:
       
      		 tcp.port in {22 23}
    • 过滤DNS(53)流量(TCP或UDP):
       
      		 port == 53

  2. 过滤端口扫描行为
    例如,过滤短时间内尝试连接多个端口的包(可能为端口扫描):

     
    		 tcp.flags.syn == 1 && ip.dst == 192.168.1.100

    (结合时间戳或IP分析更复杂的扫描行为)

  3. 过滤特定IP的端口流量
    例如,过滤来自192.168.1.1且目的端口为80的流量:

     
    		 ip.src == 192.168.1.1 && tcp.dstport == 80

五、注意事项

  1. 协议区分
    • TCP和UDP的端口字段不同(tcp.srcport vs udp.srcport),过滤时需明确协议。
    • 使用port时,Wireshark会自动匹配TCP或UDP。
  2. 端口范围
    • 有效端口范围为0-65535,超出范围的过滤条件无效。
  3. 性能优化
    • 复杂端口过滤可能导致Wireshark性能下降,建议先缩小范围(如按IP过滤)再细化端口。
  4. 动态端口
    • 客户端通常使用动态端口(>=1024),服务端使用知名端口(如80、443)。

六、总结

  • 基础过滤
    • 源端口:tcp.srcportudp.srcport
    • 目的端口:tcp.dstportudp.dstport
    • 任意端口:tcp.portudp.portport
  • 组合过滤
    • 使用&&||!组合条件
    • 使用in操作符过滤多个端口
  • 高级用法
    • 过滤端口范围、非标准端口、端口扫描行为

通过以上方法,可以高效地过滤Wireshark中的特定端口流量,快速定位所需数据包。

posted @ 2025-05-23 11:17  我的五年  阅读(336)  评论(0)    收藏  举报