佩琪手游网

手机游戏
角色扮演
动作格斗
策略塔防
飞行射击
休闲益智
模拟经营
体育竞速
冒险解谜
儿童音乐
其他游戏
手机应用
社交聊天
金融理财
学习教育
生活购物
影音视频
摄影图片
系统办公
交通导航
阅读浏览
丽人母婴
杂类应用
工具助手
网游下载
三国游戏
仙侠游戏
资讯攻略
游戏资讯
游戏攻略
每日一题
社会杂谈
综合教程
软件教程
手机教程
电脑百科
专题合集
游戏合集
软件合集
资讯专题
游戏专题
首页> 综合教程 > 电脑百科 > wireshark常用过滤方法有哪些 使用教程

wireshark常用过滤方法有哪些 使用教程

2021-07-22 11:34:47来源:佩琪手游网作者:匿名

wireshark是一款我们常用的数据包抓取软件,大家知道wireshark有哪些常用的过滤使用方法吗?想了解的小伙伴快跟佩琪小编一起来看看吧!

Wireshark常用过滤使用方法

过滤源ip、目的ip。

在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1

端口过滤。

如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包

协议过滤

比较简单,直接在Filter框中直接输入协议名即可,如过滤HTTP的协议

http模式过滤。

如过滤get包,http.request.method=="GET",过滤post包,http.request.method=="POST"

连接符and的使用。

过滤两种条件时,使用and连接,如过滤ip为192.168.101.8并且为http协议的,ip.src==192.168.101.8 and http。

工作中,一些使用方式

调整时间格式

然后再排序下。根据时间字段

根据端口过滤

服务端端口是7018,和客户端建立socket连接,根据服务端的端口找到2者通信的所有socket数据(客户端进入房间后会异常断开,判断是客户端导致的还是服务端导致的)

tcp.port==7018,最后的RST报文是服务端发起的,说明是服务端主动断开的,缩小问题范围

仅从抓包信息看是服务器的一个流量控制机制启动了。服务器发回rst位,同时win置为0,是告诉客户端不要发包。按tcp流控机制来说,此时客户端应该停止发包,直至服务器发送信息告诉客户端可以继续发送。

TCP连接:SYN ACK RST UTG PSH FIN

三次握手:发送端发送一个SYN=1,ACK=0标志的数据包给接收端,请求进行连接,这是第一次握手;

接收端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据包给发送端,告诉它,可以通讯了,并且让发送端发送一个确认数据包,这是第二次握手;

最后,发送端发送一个SYN=0,ACK=1的数据包给接收端,告诉它连接已被确认,这就是第三次握手。之后,一个TCP连接建立,开始通讯。

*SYN:同步标志

同步序列编号(Synchronize Sequence Numbers)栏有效。该标志仅在三次握手建立TCP连接时有效。它提示TCP连接的服务端检查序列编号,该序列编号为TCP连接初始端(一般是客户端)的初始序列编号。

在这里,可以把 TCP序列编号看作是一个范围从0到4,294,967,295的32位计数器。通过TCP连接交换的数据中每一个字节都经过序列编号。

在TCP报头中的序列编号栏包括了TCP分段中第一个字节的序列编号。

*ACK:确认标志

确认编号(Acknowledgement Number)栏有效。大多数情况下该标志位是置位的。TCP报头内的确认编号栏内包含的确认编号(w+1,Figure-1)为下一个预期的序列编号,同时提示远端系统已经成功接收所有数据。

*RST:复位标志

复位标志有效。用于复位相应的TCP连接。

*URG:紧急标志

紧急(The urgent pointer) 标志有效。紧急标志置位,

*PSH:推标志

该标志置位时,接收端不将该数据进行队列处理,而是尽可能快将数据转由应用处理。在处理 telnet 或 rlogin 等交互模式的连接时,该标志总是置位的。

*FIN:结束标志

带有该标志置位的数据包用来结束一个TCP回话,但对应端口仍处于开放状态,准备接收后续数据。

TCP的几个状态对于我们分析所起的作用。在TCP层,有个FLAGS字段,这个字段有以下几个标识:SYN, FIN, ACK, PSH, RST, URG.其中,对于我们日常的分析有用的就是前面的五个字段。它们的含义是:SYN表示建立连接,FIN表示关闭连接,ACK表示响应,PSH表示有 DATA数据传输,RST表示连接重置。

其中,ACK是可能与SYN,FIN等同时使用的,比如SYN和ACK可能同时为1,它表示的就是建立连接之后的响应,如果只是单个的一个SYN,它表示的只是建立连接。

TCP的几次握手就是通过这样的ACK表现出来的。但SYN与FIN是不会同时为1的,因为前者表示的是建立连接,而后者表示的是断开连接。

RST一般是在FIN之后才会出现为1的情况,表示的是连接重置。一般地,当出现FIN包或RST包时,我们便认为客户端与服务器端断开了连接;

而当出现SYN和SYN+ACK包时,我们认为客户端与服务器建立了一个连接。

PSH为1的情况,一般只出现在DATA内容不为0的包中,也就是说PSH为1表示的是有真正的TCP数据包内容被传递。TCP的连接建立和连接关闭,都是通过请求-响应的模式完成的。

以上就是wireshark常用过滤方法教程了,希望对你有帮助。关注PI琪手游网,更多相关教程在这里等你~

注:文中插图与内容无关,图片来自网络,如有侵权联系删除。

【工具助手】

抓包大师

猜你喜欢 更多

手机测网速软件

手机测网速软件

随着智能手机的普及,现在人们几乎都有手机,4G网络在我国已经很普及,但是在使用手机的时候,经常发现网络被切断,严重影响了工作和网络体验,特别是在看视频和玩游戏的时候网络被切断,更加烦躁,这个时候,我们需要利用软件来测量现在的网络速度和稳定性,具有更好的网络体验。

相关教程

Copyright © 2024 www.pi7.com All Rights Reserved.

沪ICP备19042173号-6佩琪网 版权所有

意见反馈