01简介本文介绍一款好用的抓包工具Wireshark,用于获取网络数据包,包括HTTP、TCP、UDP等网络协议包。启动界面wireshark是抓取机器上某个网卡的网络包。当您的机器上有多个网卡时,您需要选择一个网卡。只需双击上述网卡之一。02Wireshark窗口Wireshark窗口介绍:WireShark主要分为这几个界面:1.DisplayFilter(显示过滤器),用于过滤。2.PacketListPane(数据包列表),显示捕获的数据包、源地址和目的地址、端口号。不同的颜色代表。3.PacketDetailsPane(数据包详情),显示数据包中的字段。4.DissectorPane(十六进制数据)。5.杂项(地址栏,杂项)。常用操作按钮①开始抓包,②停止抓包,③重新抓包03Wireshark显示过滤器过滤器的使用非常重要。初学者在使用wireshark时,会得到很多冗余信息。在几千甚至几万条记录中,至于很难找到你需要的部分。头晕。过滤器会帮助我们在大量数据中快速找到我们需要的信息。比如上图中的过滤方式,只会显示TCP端口为5005的通讯数据包。注意:这里的显示过滤器设置为只显示。事实上,wireshark还是会抓取这个网卡上的所有数据包。过滤器有两种类型:1.显示过滤器是主界面上的过滤器,用于在抓取的记录中查找需要的记录。2、capturefilter用于过滤捕获的数据包,以免捕获到过多的记录,设置在capture->capturefilter中。这适用于只抓取某个频道的通信。保存显示过滤器通常情况下,我们在工作中每次打开wireshark都会抓取相同类型的数据。比如公司产品默认的TCP端口是5005,也就是上面的tcp.port==5005。我们不想每次打开wireshark都重新输入过滤表达式,可以保存。输入表达式后,点击左侧的书签按钮,选择保存该过滤器。然后修改名称。下次点击左侧书签时,可以直接选择此项保存并显示过滤条件,无需重复输入。04过滤表达式的规则1、协议过滤,比如TCP,只显示TCP协议。2、IP过滤如ip.src==192.168.1.102显示源地址为192.168.1.102。ip.dst==192.168.1.102,目的地址为192.168.1.102。3、端口过滤tcp.port==80,端口为80。tcp.srcport==80,只显示TCP协议为80端口。4、Http方式过滤http.request.method==“GET”,只显示HTTPGET方法。5.逻辑运算符是AND/OR,常用的过滤表达式:05PacketDetailsPacketDetailsPane是我们最重要的面板,用来查看协议中的各个字段。每行信息是:Frame:物理层的数据帧概览。EthernetII:数据链路层以太网帧头信息。Internet协议版本4:Internet层IP数据包报头信息。TransmissionControlProtocol:传输层的数据段头信息,这里是TCP。Data:应用层的信息。Wireshark及对应的TCP/IP四层模型详细使用wireshark抓取数据包,分析TCP/IP协议簇的IP头字节,TCP头字节等,详见《STM32网络开发》专栏。06在开发自动保存的过程中,我们有时需要抓取某台设备运行过程中一段时间??的数据,可能是几天,甚至十几天。如果我们按照上面的方法抓取数据,运行一段时间,wireshark一直在抓取数据,运行几个小时后,在内存小的PC上就死机了。这时候我们就需要wireshark抓包一段时间,自动保存。设置方法:Capture->Options->Output。在实际项目中,有些嵌入式设备不与PC进行数据通信,但可能与其他嵌入式设备进行通信。这时候我们就需要使用带有端口镜像的交换机来进行数据监控。如下图,将交换机端口配置为3和2的镜像,配合wireshark的自动保存功能,监控一个网络设备的所有数据包。07Wireshark的统计功能Wireshark的一个强大功能在于它的统计工具。在使用Wireshark时,我们有多种类型的工具可供选择。比如协议分类。ProtocolHierarchyStatistics窗口显示以捕获文件包含的所有协议和树分支;数据包百分比始终由同一协议层提供。另一个例子可以显示TCP的吞吐量。这些统计功能是wireshark的重要功能。它们经常被运维人员和网络维护人员使用。嵌入式或单片机网络开发仍然是基于TCP/IP协议集群抓包分析。详细的统计功能在此不再赘述。.本文转载自微信公众号“知乎编程”,可通过以下二维码关注。转载本文请联系知编程公众号。
