03.wireshark的基本使用和FQA记录
1 基本的过滤使用
数据包的过滤基本的用法是用简单的&&和||等逻辑运行符组合成条件表达式来实现的, 如: tcp.port == 5088 && http, 意思为过滤出tcp协议的5088端口且是http
协议。启用监听后,自然会把满足条件的数据包过滤出来。
1.1 ip地址过滤
每个数据包有2个地址,源地址和目标地址。 其表达式为:
| 表达式 | 说明 |
|---|---|
ip.src == 192.168.0.1 | 过滤出tcp数据包中源地址ip为192.168.0.1的数据包 |
ip.dst == 192.168.0.2 | 过滤出tcp数据包中目标地址ip为192.168.0.2的数据包 |
1.2 协议过滤
可以直接指定要什么协议的数据包,如: http || mqtt, 则表示过滤出http协议或mqtt协议,注意协议名要为小写。
1.3 端口过滤
| 表达式 | 说明 |
|---|---|
tcp.port == 1080 | 过滤出tcp中发往1080端口的数据包 |
2 FQA
2.1在mac 网卡权限问题
如果监听一个网卡时,提示无权操作时,原因是当前用户没权监听这张网卡的socket文件,修改下需要权限就可以了
运行 sudo chmod 777 /dev/bpf*
2.2 本地127.0.0.1抓取
wireshark抓取环回链路数据包
为什么wireshark抓包抓不到本机自己跟自己的通信包,因为本机发完本机的数据包不会经过网卡,
而是经过环回链路返回本机,如果要监听环路链路,wireshark需要监听Loopback:lo0
在选择网卡时,有一个包含io命名的网卡,基本上就是可以监听本地回环数据包的网卡了。