Wireshark是一款比较常用的抓包软件,重点在于免费,功能依旧强大。至于抓包的使用就看个人了,本人作为网络初学者,只是用来做一些简单的,平日要用到的协议的分析。鉴于这软件的说明有几十页的英文,暂时还没有时间去透彻的研究,只求上手,抓包,然后分析下协议,因为有时候需要手工用TCP、UDP协议运送点应用层协议的数据。
如果是从服务器端进行抓包会比较轻松些,比如我的服务器是fedora13,我有安装Apache服务器,并做了个简单的html文件,想了解下HTTP协议,这时候打开Wireshark,选择Capture—> Options 选择好连接客户端的网卡,Capture Filter后面填上Port 80(Http默认服务端口),当然本来也内置了一些Filter,但不够多,如果想要同时检测两个端口就需要or来连接,如Port 80 or Port 8080,有时候也可以用and的连接,如去除arp时,可以加上 and no arp,然后start,就只抓指定Port的数据了,这点在学习时还是比较好用的,当然也需要知道一些常用的端口,不知道的话也可以netstat一下,当然想在服务器端抓包的话平日还是比较有难度的。
如果是作为客户端来抓包的,以上的方法就有点不适用,因为客户请求的TCP或UDP端口是不固定的,想要稳定的抓包有点困难,这时就全部抓包吧,或者去掉broadcast 和arp等之后再抓包,这样数据包会少点,Start之后这个数据包的量会很多,如果只需要查看http的话还得用上Filter,默认应该是有开启Filter工具视图的,否则在View中点选即可,然后可以直接输入http回车就可以看到只有http包被显示出来了,当然也可以过滤出其他一些协议,但这种方法我用的还不太熟,有些协议名输入后回车它并不给滤除,Filter显示红色,等以后有时间还需要学习下。这种过滤只是在显示中过滤,真正抓的包是很多的,和之前那种抓包是不一样的。当然全部抓包的用途就很广了…
以上只是最近在学习协议时知道的一点Wireshark的用法,比较基础,以上。