Wireshark
# 设置
wireshark 设置可以做什么
- 更改包的显示颜色
- 将包的具体内容 不用 hex bytes 而是 diagram 的形式显示
- 在工具栏添加 filter 按钮, 点一下可以只显示此 filter 下的包
- 加一个 delta time 列, 或者直接把包里的某一项 apply as column(比如 TCP Segment Len右键)
建议的 wireshark 捕捉位置: client 和 server 各自
# Capture
Wireshark Package Capture
- 开始界面左上第四个
- Capture option-Snaplength: 只捕捉每个包的一部分
- 建议 多个小的 pcap 代替 一个大的
- 方法: 在 capture option 里设置 create a new file automatically after 100MB.
- ring buffer: 只保存指定数量个 pcap
- 需要 start
# dumpcap
Wireshark 命令行工具 dumpcap, 用来在后台持续捕捉流量, 并存为 pcapng 文件
- dumpcap -h
- -D 查看流量设备及编号
- -i <no.> 捕捉某一设备流量
- -w <path.pcapng> 写入位置
- ringbuffer -b filesize:100000 -b files:10
# Filter Traffic
How to Filter Traffic // Intro to Wireshark Tutorial // Lesson 5 - YouTube
Capture Filter
- pre-filter
- capture or not
- ip, arp, host xxx, port xxx, tcp
- careful! because tcp package loss might be relied by icmp
Display Filter
- post-filter
- display or not
# Display Filter syntax
-
right click is always useful (Conversation)
-
and or eq not
-
prepare as Filter
-
ip.addr == 192.168.178.40
-
tcp.port in {80, 443}
-
frame contains google (case sensitive)
-
frame matches Google (case insensitive)
-
arp