如何用Wireshark抓取指定类型或指定端口数据包

Wireshark使用起来确实很方便。
两年前,我就靠着它,当时隔壁王先生帮我解决了电脑无法上网的问题。

如果你看这一步,真的就这么简单。
首先,您需要下载Wireshark。
可以从官方网站下载;或者你可以百度一下什么的。
找到绿色安装包,点击安装。
不要改变任何东西。
默认就好。

安装后打开 Wireshark。
左上角有一个小鲨鱼图标,点击它;然后选择您正在使用的网线或 Wi-Fi。
一般来说,有两种类型的计算机;一种称为以太网,另一种称为 WLAN。
这取决于您是插入网络电缆还是使用无线网络。
只需点击它即可。

点击它后,可能会提示您几个选项。
有一个“隐藏捕获信息对话框”,我通常不检查它。
检查完后,会有一个小窗口,可以看到实时捕获了多少数据包。
非常有用,所以保留它。
将其他一切保留为默认值;然后单击绿色的开始按钮开始捕获。

稍等一下,如果您想查看请求了哪些网页,请在过滤框中输入“http”;按 Enter 键。
然后是HTTP数据包将立即显示。
如果您想查看请求的是哪个网页,IP 地址;双击该包可查看端口号等详细信息。

如果您想查看特定端口,例如端口 8 0(该端口由 HTTP 使用),请在“过滤器”框中输入“tcp.port==8 0”并按 Enter 键。
看看现在只显示8 0端口的TCP数据包吗?如果您想查看 HTTPS,请使用“tcp.port==4 4 3 ”。
如果您想查看 8 0 或 4 4 3 ,请使用“tcp.port==8 0 || tcp.port==4 4 3 ”。
这个符号的意思是
如果你想组合一些东西,例如,只看TCP协议的8 0端口;然后输入“tcp && tcp.port==8 0”。
就像微信聊天一样;简单明了。

完成后,按红色停止按钮。
然后,如果你想保存录制的包,点击左上角的文件;然后选择保存。
为其命名并将其保存为 .pcap 格式文件。
您可以稍后再次播放该文件。

哦,有几点需要注意: 在过滤框中输入的命令必须具体;并且不要打错字。
否则,你将看不到任何东西。
统计窗口,如果您之前没有勾选过隐藏框,您可以实时观看。
如果检查的话,你必须点击主界面中的统计栏来亲自查看。
此外,如果您在 Linux 或 macOS 系统上使用它,则需要使用 sudo 来启动 Wireshark。
否则,您没有抓包权限。

没错。
捕获和分析特定类型或端口的数据包并不困难。
我帮助检查了老挝问题;他称赞我表现出色。

Linux下如何抓指定IP的包

tcpdump 命令很容易使用。
自己看一下参数吧。

-tcp:只捕获TCP数据包,将IP、ARP等放在前面。

-ieth1 :仅查看eth1 端口数据。

-s0:捕获整个包。
否则它将被截断。

-c1 00:为了避免卡住,只捕获 1 00 个。

-dstport2 2 :目标端口2 2 ,SSH默认。

-srcnet1 9 2 .1 6 8 .1 .1 :源IP为1 9 2 .1 6 8 .1 .1
-w./target.cap:保存文件并使用Wireshark检查。

该扩展描述了许多参数,但实际上它们是:
-选择您的网卡
-s 捕获数据包大小
-c 数量控制
-w 保存格式
是否要捕获 DNS 数据包?只需添加 -udp 和 -port5 3 即可。

Linux的dumpcap如何查看数据包详情

上周我的朋友在 Linux 系统上使用 dumpcap 抓包,我教他如何使用 tsark,因为他想分析 .pcap 文件。

2 02 3 年,我的朋友第一次在 Debian/Ubuntu 系统上使用 sudo apt-get update,然后我在 RedHat/Fedora/CentOS 系统上安装 sudo apt-get installwireshark 或 sudo dnf installwireshark 或 sudo yumwireshark。

接下来,默认情况下他以root权限运行dumpcap,列出所有网络接口;然后sudo dumpcap -i eth0设置像eth0一样抓包的接口。

他还可以设置过滤器,例如 sudo dumpcap -i eth0 -f "tcp port 8 0" 来仅捕获端口 8 0 上的 TCP 数据。

按 Enter 键开始抓包。
完成后,按 Ctrl+C 停止。
并且会自动生成.pcap 文件。

之后,他使用 tsark 分析 .pcap 文件,例如 sudo tserk -r your_capture_file.pcap 以查看完整的包详细信息。

如果要提取特定字段,请使用sudotsark -r your_capture_file.pcap -T fields -e frame.time -e ip.src -e ip.dst
重点是dumpcap只负责抓包,不能直接查看内容,而tsark是解析pca文件的神器。

顺便说一句,如果没有安装Wireshark,必须先安装它;否则 dumpcap 和 tserk 将不起作用。
朋友说这个方法效果很好,现在可以分析数据包了。
မေ့ပစ်လိုက်ပါ