[计算机网络] WireShark:网络分析利器

概述:WireShark

安装指南

安装 on Windows

  • 下载安装包

WireShark 官网

  • 点击安装

WiresharkPortable64_4.4.5.paf.exe

  • 点击启动

基础使用篇

导入.pcap文件

样例:UDP报文

  • Frame : Frame 1

  • encapsulation type/包装类型
  • Arrival Time/到达时间
  • UTC Arrival Time/UTC到达时间
  • Epoch Arrival Time/纪元到达时间
  • ...
  • Frame Number/帧序号
  • Frame Length/帧长度
  • Capture Length/捕获长度
  • [Frame is marked]/是否帧被标记
  • [Frame is ignored]/是否帧被忽略
  • [Protocol in frame : eth:ethertype:vlan:ethertype:ip:udp:data]

[帧内协议]

  • [Coloring Rule Name]/着色规则名称
  • [Coloring Rule String]/着色规则String

  • Ethernet II

  • 802.1Q Virtual LAN

  • Internet Protocol Version 4

  • User Datagram Protocol/用户数据报协议

  • Data

样例:SOMEIP报文

启用 SOMEIP 报文协议

分析-启用协议-搜索: SOME-勾选

SOME/IP Service Discovery Protocol [Offer]

过滤器篇

基本介绍

类别

  • 显示过滤器模式
  • 捕获过滤器模式

逻辑表达式

and:&&
or:||
成组:()

协议类型

  • someip
  • somesd
  • http
  • telnet

案例实践

仅监听:协议=SOME/IP,MethodId=0x8001的报文

someip.methodid == 0x8001

仅监听协议=SOME/IP + 指定ServiceId + 指定MethodId 的报文

someip.serviceid == 0x5006 && someip.methodid == 0x0032

仅监听指定数据的长度满足条件的报文 | len(someip.payload) > 2

len(someip.payload) > 2

仅监听协议=SOME/IP-SD的报文

somesd

捕获多种协议的数据包

http or telnet

排除某种协议的数据包

not arp

或   !tcp

仅监听指定IP

ip.addr == 117.16.0.48 || ip.addr ==172.16.0.14

仅监听指定协议 + 指定IP

someip && ip.addr == 172.16.0.48

仅监听某域名

http.host ==  "qq.com"
http.host contains qq.com

仅监听HTTP报文

tcp.port==80

仅抓取arp报文

eth.type ==0x806

仅监听ICMP报文

icmp

仅监听HTTP请求方法为POST的报文

http.request.method == "POST"

仅监听HTTP的URI请求为"/q.cgi"路径的报文

http.request.uri == "/q.cgi"

仅监听与某主机的通信[只抓取和博客园服务器的通信,src表示源地址,dst表示目标地址]

ip.addr == 42.121.252.58 或者 ip.src==10.10.10.10

【多过滤条件:使用逻辑表达式】监听qq.com或者UDP报文

 (http.host contains  "qq.com") || udp

Y 推荐文献

  • WireShark

X 参考文献

  1. 最新版本的Wireshark采集的SOME/IP数据可以被CANOE读取; CANOE采集的数据也可以被Wireshark读取。
  2. 首次使用Wireshark采集数据需要启用SOME/IP协议

【分析】-【启用协议】-搜索SOMEIP-选中SOMEIP协议

posted @ 2019-04-30 00:50  千千寰宇  阅读(329)  评论(0)    收藏  举报