wireshark中的数据包错误级别

wireshark中不同错误级别的包用不同颜色标识:会话Chat (灰色)、注意Note (蓝绿色)、警告Warn (黄色)、错误Error (红色)。Chat级别的数据包不是错误,Note级别的包表示数据合法但可能不是我们预期数据,Warn和Error级别才是错误数据。 可以在“分析[Analyze] → 专家信息[Expert Info]”中查看对应级别的数据包。 也可以使用显示过滤: _ws

Continue reading »

修改wireshark协议解析规则

不同的协议有不同的解码器,wireshark尝试为每个包尝试找到正确的解码器,特定的情况有可能会选择错误的解码器。 1.使用了其它协议的标准端口,被错误解码,使用udp的80端口发送数据被当作QUIC协议解析。 wireshark菜单“Analyze–>Enabled Protocols…” 打开”Enabled Protocols”对话框,可以解析的协议

Continue reading »

wireshark过滤含有/不返回xxx的http包

时常需要寻找一些特殊的http包,例如不返回文件大小的url、含有cookie的请求包等。 不返回文件大小,就是http响应头中没有content_length,wireshark抓包过滤响应头中不包含content_length的包即可:!http.content_length 但这个条件的过滤结果还不够精简,建议使用: ! http.content_length&& http.

Continue reading »

HTTP头之Content-Type

Content-Type是HTTP响应/POST头中重要的内容,用于定义网络文件的MIME类型和网页的编码。一般浏览器会根据Content-Type来决定如何处理返回的消息体内容,例如直接显示或者调用关联程序。 wireshark中使用过滤语句http.content_type过滤出包含Content-Type的http数据包,如下图 如果只过滤一种类型的Content-Type,可以使用如下过滤

Continue reading »

wireshark中查看http请求的响应消息/状态码

今天被问到了一个简单的问题,wireshark中怎么查看指定http请求对应的状态码? 点两下鼠标就可以解决:在需要查看响应/请求消息的捕获记录上点击右键,右键菜单中选择“Follow Tcp Stream”,弹出的窗口即可看到这条请求建立和关闭的过程。 这时捕获列表内的数据包既是这条请求的全过程,更换成原来的过滤条件即可返回原来的捕获列表。“Follow Tcp Stream”类似的udp/ss

Continue reading »

wireshark捕获/过滤指定ip地址数据包

使用捕获过滤或显示过滤,wireshark可以仅捕获/显示经过指定ip的数据包,即某个ip收到或发出的所有数据包。wireshark捕获/显示过滤使用方法见:“wireshark过滤器”

显示过滤:wireshark过滤经过指定ip的数据包

显示过滤可以完整的复现测试时的网络环境,但会产生较大的捕获文件和内存占用。

ip.addr ==192.168.1.1 //显示所有目标或源地址是192.168.1.1的数据包

Continue reading »