简单的Wireshark抓包

发表于

wireshark过滤规则

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
常用的 直接在过滤规则输入  
http  
tcp  
udp 
tcp.port == 80 || udp.port == 80
ip.addr== 192.168.70.159
http没有tcp.port == 80 || udp.port == 80效果好
这些规则显示过滤器里面都有
ip.后面有很多的选项
可以用 ||  来代表or
&& 为 and  等等都很简单
最简单的方法 就是找到一个想要的包,右键  把它设置为规则
复杂一点的话,就去看帮助,学习过滤正则就好了
PS:最好用中文版,看着省事

如何得到与burp一样的包结果

1
2
3
4
5
6
7
8
9
10
11
12
13
14
抓到包后,右键选项里的复制选项>字节,就可以得到和burp一样的包结果了
随意找了一个包
结果如下
Xil5EX@fKF{:ePPdqP
GET /pushserver3/client?ClientVer=50800000001&GUID=PC9586697ac15763679&app=ydrive&cl=desktop&client_ver=50800000001&cto=600000&device_id=PC9586697ac15763679&device_name=WHOAMI&device_type=PC&did=PC9586697ac15763679&keyfrom=pc&lp=1500408903365&os=Windows&os_ver=Windows&pv=1&subvendor=&vendor=website&vendornew=website&ver=0 HTTP/1.1
Accept: */*
USER-ID: ccfuc2017@163.com
User-Agent: Ydrive client
Host: notify3.note.youdao.com
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: OUTFOX_SEARCH_USER_ID=1951253004@123.123.62.41; YNOTE_FORCE=true; YNOTE_SESS=v2|Y4KBDH-XfWTFh4wzOfYWRJ4kMQBhLOm0J4OMPLn4py0Q4nMOM64qL0Uf6MkfnfTFR64kfgBP4OMRTLPLkMRHwyR6KhfPFnfzGR; YNOTE_LOGIN=1||1500466436384; JSESSIONID=aaaEP4FnqI5rUhLR5z30v
前面会有几个乱的字符,自己手工删掉就可以了

对包内容进行过滤,搜索

1
2
3
4
可以使用规则  比如下面就是只抓get的包
tcp.port == 80 || udp.port == 80 && http.request.method=="GET"
也可以ctrl+f   直接找string    只要关键词选的好正确,很快就ok

更多学习资料:http://jingyan.baidu.com/article/7f41ececede744593c095c79.html

https://www.baidu.com/s?wd=wireshark%20%E6%95%99%E7%A8%8B

```