修改wireshark协议解析规则

不同的协议有不同的解码器,wireshark尝试为每个包尝试找到正确的解码器,特定的情况有可能会选择错误的解码器。 1.使用了其它协议的标准端口,被错误解码,使用udp的80端口发送数据被当作QUIC协议解析。 wireshark菜单“Analyze–>Enabled Protocols…” 打开”Enabled Protocols”对话框,可以解析的协议

Continue reading »

wireshark过滤含有/不返回xxx的http包

时常需要寻找一些特殊的http包,例如不返回文件大小的url、含有cookie的请求包等。 不返回文件大小,就是http响应头中没有content_length,wireshark抓包过滤响应头中不包含content_length的包即可:!http.content_length 但这个条件的过滤结果还不够精简,建议使用: ! http.content_length&& http.

Continue reading »

HTTP头之Content-Type

Content-Type是HTTP响应/POST头中重要的内容,用于定义网络文件的MIME类型和网页的编码。一般浏览器会根据Content-Type来决定如何处理返回的消息体内容,例如直接显示或者调用关联程序。 wireshark中使用过滤语句http.content_type过滤出包含Content-Type的http数据包,如下图 如果只过滤一种类型的Content-Type,可以使用如下过滤

Continue reading »

wireshark中查看http请求的响应消息/状态码

今天被问到了一个简单的问题,wireshark中怎么查看指定http请求对应的状态码? 点两下鼠标就可以解决:在需要查看响应/请求消息的捕获记录上点击右键,右键菜单中选择“Follow Tcp Stream”,弹出的窗口即可看到这条请求建立和关闭的过程。 这时捕获列表内的数据包既是这条请求的全过程,更换成原来的过滤条件即可返回原来的捕获列表。“Follow Tcp Stream”类似的udp/ss

Continue reading »

wireshark捕获/过滤指定ip地址数据包

使用捕获过滤或显示过滤,wireshark可以仅捕获/显示经过指定ip的数据包,即某个ip收到或发出的所有数据包。wireshark捕获/显示过滤使用方法见:“wireshark过滤器”

显示过滤:wireshark过滤经过指定ip的数据包

显示过滤可以完整的复现测试时的网络环境,但会产生较大的捕获文件和内存占用。

ip.addr ==192.168.1.1 //显示所有目标或源地址是192.168.1.1的数据包

Continue reading »

wireshark过滤MAC地址/物理地址

wireshark中根据MAC地址/物理地址过滤数据包,捕获过滤和显示过滤的语法如下: wireshark捕获过滤中过滤MAC地址/物理地址 ether host 80:f6:2e:ce:3f:00   //过滤目标或源地址是80:f6:2e:ce:3f:00的数据包 ether dst host 80:f6:2e:ce:3f:00   //过滤目标地址是80:f6:2e:ce:3f:00的数据包

Continue reading »