Wireshark抓包

发表于 本文字数: 397 阅读时长 ≈ 1 分钟

记录一下Wireshark使用

过滤器

捕获过滤器

捕获过滤器表达式作用在wireshark开始捕获数据包之前,只捕获符合条件的数据包

表达式语法

协议列表
tcp
udp
arp
tcp
ip
ip6
逻辑关键字
or
and
取反关键字
no

案例

  1. 协议是tcp并且端口号是443

    1
    2
    3
    tcp port 443
    # 或
    tcp port https

  2. 协议是tcp并且端口号不是443

    1
    tcp and not port 443

  3. 域名是baidu.com

    1
    2
    3
    host baidu.com
    # 或
    host 220.181.38.148

  4. 网卡的mac地址

    1
    ether host 00:00:5e:00:53:10

显示过滤器

显示过滤器表达式作用在在wireshark捕获数据包之后,从已捕获的所有数据包中显示出符合条件的数据包,隐藏不符合条件的数据包。

表达式语法

逻辑关键字
||
&&
取反关键字
!

案例

  1. IP地址是106.152.175.199并且端口号是56147
    1
    ip.addr == 106.152.175.199 && tcp.port == 56147
  2. IP地址是106.152.175.199并且端口号不是56147
    1
    ip.addr == 106.152.175.199 && tcp.port != 56147
  3. 目标IP地址是106.152.175.199并且源IP地址是16.52.175.199
    1
    ip.dst == 106.52.175.199 && ip.src == 16.52.175.199
  4. url中包含.js的http数据包
    1
    http.request.uri contains ".js"
  5. 内容包含username的http数据包
    1
    http contains "username"

捕获HTTPS数据(MacOS)

  1. 命令行启动谷歌浏览器,并指定ssl-key-log-file=/tmp/.ssl-key.log
    1
    /Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --user-data-dir=/tmp/chrome --ssl-key-log-file=/tmp/.ssl-key.log
  2. 配置Wireshark,依次打开首选项->protocol->TLS
  3. 在输入框内输入/tmp/.ssl-key.log
  4. 在新开启的浏览器窗口,访问要抓取的内容