wireshark常用命令

IP过滤

1
2
3
ip.src eq x.x.x.x 来源ip
ip.dst eq x.x.x.x 目标ip
ip.addr eq x.x.x.x IP地址

根据协议端口过滤

1
2
3
4
5
6
tcp.port eq 80 or udp.port eq 80
# 只显tcp协议的目标端口为80
tcp.dstport == 80
# 只显tcp协议的源端口为80
tcp.srcport == 80
tcp.port >= 1 and tcp.port <= 80

协议过滤

1
2
3
4
5
http
smtp
ftp
dns
ip

MAC地址过滤

1
eth.dst == A0:00:00:04:C5:84

数据包长度过滤

1
2
3
4
5
6
7
8
# 这个长度是指udp本身固定长度8加上udp下面那块数据包之和。
udp.length == 26
# 以下是ip数据包(tcp下面那块数据),不包括tcp本身
tcp.len >= 7
# 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
ip.len == 94
# 整个数据包长度,从eth开始到最后
frame.len == 119

http相关

1
2
3
4
5
6
http.request.method == "GET"
http.request.method == "POST"
http.request.uri == "/img/logo-edu.gif"
http contains "GET"
http contains "HTTP/1."
http.request.method == "GET" && http contains "User-Agent:"

协议分析

查看一个数据包中包含那些协议

1
2
3
4
5
6
7
在 statistics 下选择 protocol hierarchy ,可以查看当前数据包中包含哪些协议。

将所有选项都展开,通常我们关注HTTP协议的内容,其他明文的TCP协议或UDP协议内容也有可能需要关注。

在我们关注的协议上右键点击 apply as filter -> selected ,可以过滤出需要的协议类型。

同样的方法也可以用来选择想要的数据包特征,比如想筛选http post请求数据包,可打开一个http post请求包,点击到post请求方式,右键apply as filter -> selected。

流汇聚

1
2
3
4
5
6
7
8
9
10
HTTP流:
右键 -> Follow HTTP Stream

常见的HTTP流关键内容:

HTML中直接包含重要信息
上传或下载文件内容,通常包含文件名、hash值等关键信息,常用POST请求上传。(PUT?)
一句话木马,POST请求, 内容包含eval,内容使用base64。
TCP流
右键 -> Follow TCP Stream

无线流量破解

检查流量包

1
aircrack-ng.exe shipin.cap

得到这里是wpa加密,并且bssid:00:1D:0F:5D:D0:EE,essid:0719

弱口令破解

1
aircrack-ng.exe shipin.cap -w wordlist.txt

这里wordlist.txt是弱口令字典,包含了常见的路由器密码,可以网上下载到,也可以自动生成。
可见破解到的密码是88888888。

用得到的密码破解流量包

1
airdecap-ng.exe shipin.cap -e 0719 -p 88888888