报文分析工具培训
一、wireshark介绍（功能、基本使用方法、帮助）
wireshark 是网络包分析工具。

网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

1. wireshark功能：
∙支持UNIX和Windows平台
∙在接口实时捕捉包
∙能详细显示包的详细协议信息
∙可以打开/保存捕捉的包
∙可以导入导出其他捕捉程序支持的包数据格式
∙可以通过多种方式过滤包
∙多种方式查找包
∙通过过滤以多种色彩显示包
∙创建多种统计分析
∙…
2. wireshark基本使用方法：
（1）、双击“桌面图标”或执行文件“wireshark.exe”
（2）、进入wireshark主界面后，点击左上角图标
（3）、在弹出的“抓包网卡选项”中，选择自己机器的物理网卡，并点击“Start”，开始抓包录制工作。

（此处，我抓包使用的物理网卡为：192.168.100.61）
此时，软件抓包显示区域内数据不断变化
（4）、点击wireshark停止键，结束抓包过程
（5）、点击wireshark软件左上角“File”后，选择“Save”选项，在弹出的对话框中，输入存档文件名后，点击“保存”，完成数据包存储工作。

3. wireshark帮助
选择主菜单中的“Help”项，出现帮助菜单。

帮助菜单包含以下几项：
Contents：打开一个基本的帮助系统。

Manual Pages：使用手册（HTML网页）
Supported Protocols：Wireshark支持的协议清单
About Wireshark：弹出信息窗口显示Wireshark的一些相关信息，如插件，目录等二、wireshark抓取报文高级使用
在开始抓包前，点击“Filter”
在“Filter string”项，输入过滤条件，点击“OK”
1. 根据MAC地址过滤条件抓取报文
太以网头过滤
eth.dst == A0:00:00:04:C5:84 // 过滤目标mac
eth.src eq A0:00:00:04:C5:84 // 过滤来源mac
eth.dst==A0:00:00:04:C5:84
eth.dst==A0-00-00-04-C5-84
eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的2. 根据IP地址过滤条件抓取报文
如来源IP或者目标IP等于某个IP
ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107
或者
ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP
3. 根据TCP协议过滤条件抓取报文
tcp
4. 根据UDP协议过滤条件抓取报文
udp
5. 根据端口过滤条件抓取报文
tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
udp.port eq 15000
6. 根据过滤规则之间的与或非条件抓取报文
（1）过滤规则之间相与：用and连接过滤规则
（2）过滤规则之间相或：用or连接过滤规则
三、wireshark显示报文高级使用打开已经截取好的报文
点击“Filter”
在“Filter string”项，输入过滤条件，点击“OK”
1. 根据MAC地址过滤条件显示报文
5. 根据端口过滤条件显示报文
6. 根据过滤规则之间的与或非条件显示报文（1）过滤规则之间相与：
（2）过滤规则之间相或：
（3）过滤规则相非
四、wireshark使用实战
举例说明：
根据IP筛选报文：ip.addr == 192.168.0.182
根据源IP筛选报文：ip.src == 192.168.0.182
根据目的IP筛选报文：ip.dst == 192.168.0.182
根据物理地址筛选报文：eth.addr == 00:16:ec:71:d9:98 根据源物理地址筛选报文：eth.src == 00:16:ec:71:d9:98 根据目的物理地址筛选报文：eth.dst == 00:16:ec:71:d9:98
根据非IP筛选报文：!(ip.addr == 192.168.0.182)
根据TCP端口筛选报文：tcp.port == 8080
根据源TCP端口筛选报文：tcp.srcport == 8080
根据目的TCP端口筛选报文：tcp.dstport == 8080
根据UDP端口筛选报文：udp.port == 11955
根据源UDP端口筛选报文：udp.srcport == 11955
根据目的UDP端口筛选报文：udp.dstport == 11955
根据HTTP协议关键字“GET”筛选：http contains 47:45:54
根据HTTP协议关键字“200 OK”筛选：http contains 32:30:30
根据HTTP协议关键字“302”筛选：
根据edonkey协议关键字“kademlia”筛选：edonkey contains e4
根据udp报文中“edonkey”和“Unknown”关键字筛选重定向报文：（电驴重定向）
udp contains e3:94
1. 过滤和分析BT重定向服务器返回的报文
2. 过滤和分析emule重定向服务器返回的报文1.根据重定向MAC地址过滤
2.右键Follow UDP Follow
3.右键>> decode as >> Transport >> 选择EDONKEY协议>> OK
4.分析出了重定向报文
3. 过滤和分析thunder重定向服务器返回的报文
五、tcpdump介绍(功能、基本使用方法)
tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。

它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

六、tcpdump高级使用
1. 根据IP地址过滤条件抓取报文
#tcpdump host 210.27.48.1
2. 根据TCP协议过滤条件抓取报文#tcpdump tcp and src host 192.168.0.1
只过滤源主机192.168.0.1的所有udp报头
3. 根据UDP协议过滤条件抓取报文#tcpdump udp and src host 192.168.0.1
只过滤源主机192.168.0.1的所有udp报头。

4. 根据端口过滤条件抓取报文
#tcpdump port 9995。