㈠ wireshark抓包命令總結
參考的循環抓包命令,其中的過濾條件需要根據實際情況修改(該命令最多佔用4G的存儲空間,且會在後台持續運行):sudo nohup tcpmp -i [network_interface] port 80 -s 80 -C 80 -W 100 -w /tmp/waf.pcap &
-W filecount . -C file_size . -s 80 snaplen 截取特定的長度
常用排錯過濾條件:
對於排查網路延時/應用問題有一些過濾條件是非常有用的:
tcp.analysis.lost_segment:表明已經在抓包中看到不連續的序列號。報文丟失會造成重復的ACK,這會導致重傳。
tcp.analysis.plicate_ack:顯示被確認過不止一次的報文。大涼的重復ACK是TCP端點之間高延時的跡象。
tcp.analysis.retransmission:顯示抓包中的所有重傳。如果重傳次數不多的話還是正常的,過多重傳可能有問題。這通常意味著應用性能緩慢和/或用戶報文丟失。
tcp.analysis.window_update:將傳輸過程中的TCP window大小圖形化。如果看到窗口大小下降為零,這意味著發送方已經退出了,並等待接收方確認所有已傳送數據。這可能表明接收端已經不堪重負了。
tcp.analysis.bytes_in_flight:某一時間點網路上未確認位元組數。未確認位元組數不能超過你的TCP窗口大小(定義於最初3此TCP握手),為了最大化吞吐量你想要獲得盡可能接近TCP窗口大小。如果看到連續低於TCP窗口大小,可能意味著報文丟失或路徑上其他影響吞吐量的問題。
tcp.analysis.ack_rtt:衡量抓取的TCP報文與相應的ACK。如果這一時間間隔比較長那可能表示某種類型的網路延時(報文丟失,擁塞,等等)。
㈡ wireshark怎麼過濾域名
一、IP過濾:包括來源IP或者目標IP等於某個IP
比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 顯示來源IP
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 顯示目標IP
二、埠過濾:
比如:tcp.port eq 80 // 不管埠是來源的還是目標的都顯示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只顯tcp協議的目標埠80
tcp.srcport == 80 // 只顯tcp協議的來源埠80
過濾埠范圍
tcp.port >= 1 and tcp.port <= 80
三、協議過濾:tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
等等
排除ssl包,如!ssl 或者 not ssl
四、包長度過濾:
比如:
udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊數據包之和
tcp.len >= 7 指的是ip數據包(tcp下面那塊數據),不包括tcp本身
ip.len == 94 除了乙太網頭固定長度14,其它都算是ip.len,即從ip本身到最後
frame.len == 119 整個數據包長度,從eth開始到最後
五、http模式過濾:
例子:
http.request.method == 「GET」
http.request.method == 「POST」
http.request.uri == 「/img/logo-e.gif」
http contains 「GET」
http contains 「HTTP/1.」
// GET包
http.request.method == 「GET」 && http contains 「Host: 」
http.request.method == 「GET」 && http contains 「User-Agent: 」
// POST包
http.request.method == 「POST」 && http contains 「Host: 」
http.request.method == 「POST」 && http contains 「User-Agent: 」
// 響應包
http contains 「HTTP/1.1 200 OK」 && http contains 「Content-Type: 」
http contains 「HTTP/1.0 200 OK」 && http contains 「Content-Type: 」
一定包含如下
Content-Type:
六、連接符 and / or
㈢ Wireshark過濾命令有哪些
使用wireshark常用的過濾命令
請看這個經驗。
請採納。謝謝。
㈣ wireshark 怎麼設置協議過濾
英文版:在抓包過程,在封包顯示區上方的Filter中,輸入協議名稱,或者埠等,就可以在顯示區中,只顯示對應封包。
(比如:查找目的地址ip.dst==192.168.1.55,查找源地址ip.src==192.168.1.1,tcp.dstport==80隻過濾目的埠為80的等等)
具體過濾指令,可以去查一下。
㈤ wireshark過濾規則
ip.src==192.168.1.99 && ip.dst==192.168.1.96 && (tcp,port==80 || udp.port==80) 大致這樣,如果你需要是哪個傻瓜式的分析軟體,可以試試QPA,他是基內於進程抓包的,並且篩選功容能很傻瓜,直接輸入關鍵字即可