Wireshark命令¶
技巧:
右键Follow TCP Stream就可以看到完整的HTTP通信内容
PS: 在filter中会有tcp.stream eq xx的字样, 说明就是过滤出了tcp.stream == xx的包而已
以后遇到这种类型的包, 或是想查看完整的HTTP通信过程就方便多了, 不用一个个包去找了
mac使用事项:
// wireshark在mac下打开监控不到网卡时
// 把以下文件修改为有权限
chgrp admin /dev/bpf*
chmod g+rw /dev/bpf*
常用查询条件:
ip.addr==39.107.212.12
协议:
tcp
http
icmp
TLSv1.2
ip实例:
% 与ip:39.107.212.12的http请求
ip.addr==39.107.212.12 and
% 指定目的地址ip
ip.dst==39.107.212.12 and tcp
% 源地址
ip.src==39.107.212.12 and tcp
ip段:
ip.addr == 100.100.1.1/16
与:
ip.addr == 10.140.100.6) && ip.addr == 100.100.105.70
或:
ip.addr == 10.140.100.6) || ip.addr == 100.100.105.70
非:
!(ip.addr == 10.140.100.32)
只查ip:
ip
只查ip6:
ipv6
颜色代表说明:
黑色背景代表报文的各类错误
红色背景代表各类异常情景
其它颜色代表正常
修改:
view-->coloring rules 菜单
其他:
离线流量分析
· Wireshark/tshark
·dsniff
·ngrep