wireshark学习-1

wireshark默认显示方式

截图

wireshark中 默认的列

No. ：捕获的数据帧序号，第一帧始终为 1。
Time ：从捕获的第一帧开始的计算的时间（单位为纳秒），第一帧标记为 0.000000。
Source ：源地址，通常是 IPv4、IPv6 或者 以太网地址。
Destination ：目的地址，通常是 IPv4、IPv6 或者 以太网地址。
Protocol ：以太网帧、IP数据包、TCP分片所使用的协议（ARP、DNS、TCP、HTTP等）。
Length ：数据帧长度（单位为字节）。

隐藏不需要的列

可以通过右键标题栏 选择隐藏不需要的列

删除不需要的列

如果有些列用不到 可以选择该列后右键 -> Remove This Column 进行删除

添加需要的列

右键点击标题栏 选择Column Preferences 点击左下角的 + 列表中将会出现一个标题为New Column的表项。

修改时间格式

点击菜单栏的 视图 选择 时间显示格式 可以去选择UTC 秒等

添加自定义列

可以选择数据包细节窗口 选择需要添加的数据 右键点击应用为列 即可成功添加

---

背景为红色 => 这个表达式尚未被接受

背景为绿色 => 这个表达式可以正常工作

背景为黄色 => 这个表达式可以被接受，但是可能不会按预期工作

wireshark 显示过滤器 布尔表达式

• 等于 == 或 eq
• 且 && 或 and
• 或 || 或 or

eg

ip.addr eq 192.168.10.195 and ip.addr == 192.168.10.1

http.request && ip.addr == 192.168.10.195

http.request || http.response

dns.qry.name contains microsoft or dns.qry.name contains windows

选择排除特定值时 不要在表达式中使用 !=

可以使用!(ip.addr == 192.168.10.1) 而不是使用ip.addr != 192.168.10.1

http.request or ssl.handshake.type == 1

http.request

ssl.handshake.type == 1

---

识别主机和用户

dhcp

nbns