wireshark 使用技巧

Wireshark使用技巧-GeoIP显示IP地理位置

  在使用Wireshark时,有的时候需要知道抓取的报文中某个IP地址的具体地理位置,笨一点的方法是将IP地址复制,然后通过一些软件或网站来进行查询。其实,Wireshark本身就带有这样的功能,只要到特定的网站下载一个IP地址库,然后进行简单的设置就可以了。

  查看Wireshark是否支持GeoIP,点击Help→About Wireshark, 然后在 ”Compiled with” 段落中查找,默认的编译都是包括了对该库的支持。

  从以下网址下载IP地址库,下载完解压将名字修改为GeoIP.dat。

http://geolite.maxmind.com/download/geoip/database/,

建议下载http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz,虽然比较大,但是显示的信息很详细。

  下载完后,必须让Wireshark知道IP地址库放在什么位置。可以通过 Edit→Preferences→Name Resolution,选择GeoIP database directories 来进行修改。如下图所示:

  修改完后,退出Wireshark并重启。抓取报文,可以在Statistics→Endpoints中包含所有IP地址的页面看到GeoIP信息。如果想在协议头部窗口看到IP地理位置信息,可以通过 Edit→Preferences→Protocols→IP,允许 GeoIP lookups 选项即可

时间: 2024-10-12 23:47:58

wireshark 使用技巧的相关文章

Wireshark使用技巧

常用快捷键: Ctrl-F: 打开Find Packet窗口 Ctrl-N: 下一个匹配的数据包 Ctrl-B: 上一个匹配的数据包 Ctrl-M: 标记选中的数据包/取消标记 Shift-Ctrl-N: 下一个已标记的数据包 Shift-Ctrl-B: 上一个已标记的数据包 Ctrl-T: 设定当前数据包为相对参考 捕获过滤器表达式(BPF语法) 一个表达式包含: n个原语 + 操作符 (n可以为1) 一个原语包含: n个限定词 + ID/数字 (一个ID/数字的例子,IP/Port) BPF

Wireshark小技巧

抓头部: 时间格式设置: 自定义颜色: 快速过滤TCP/UDP: 过滤一个TCP/UDP Stream: 根据感兴趣内容生成表达式:如果右击的是Apply as Filter则生成表达式并自动执行

手机数据抓包以及wireshark技巧

本文主要讨论一种非常方便的抓取Android和iphone手机网络数据包的办法,以及介绍wireshark最常用的技巧 抓包工具介绍 (1).网页抓包工具 Chrome浏览器插件 FireBug 插件 HttpWatch Fiddler 在浏览器chrome和firefox中可以使用插件抓取网络包,httpwatch会以插件的形式安装在IE和firefox浏览器中,对web请求进行抓包.而Fiddler则是一个独立的程序,其原理是在启动之后开启对127.0.0.1:8888的端口进行监听,并将计

wireshark ip地址库添加

wireshark ip地址库添加.md http://www.iprotocolsec.com/2011/09/13/wireshark使用技巧-geoip显示ip地理位置/http://www.iprotocolsec.com/2011/08/24/修改wireshark-显示报文进程名称/http://www.iprotocolsec.com/2012/11/07/wireshark技巧-解密ssl协议/ 来自为知笔记(Wiz)

2018-1-23 Linux学习笔记

10.6 监控io性能 本节主要学iostat和iotop两个监io性能的命令. iostat命令用于监视系统输入输出设备和CPU的使用情况.它汇报磁盘活动统计情况,同时也会汇报出CPU使用情况.iostat有一个弱点, 就是它不能对某个进程进行深入分析,仅对系统的整体情况进行分析. 直接使用iostat即可查看,但用iostat -x可查看更为详细的信息(使用该命令应重点关注%util这一列) iotop命令用于监视磁盘I/O使用状况. iotop具有与top相似的UI,其中包括PID.用户.

Wireshark技巧-过滤规则和显示规则

Wireshark是一个强大的网络协议分析软件,最重要的它是免费软件. 过滤规则 只抓取符合条件的包,在Wireshark通过winpacp抓包时可以过滤掉不符合条件的包,提高我们的分析效率. 如果要填写过滤规则,在菜单栏找到capture->options,弹出下面对话框,在capture filter输入框内填写相应的过滤规则,点击下方的start 就生效了. 1.只抓取HTTP报文 tcp port 80 解析:上面是只抓取tcp 协议中80端口的包,大部分Web网站都是工作在80端口的,

Wireshark 抓包仅保存当前过滤数据包的小技巧分享

如果你在抓包的时候只想保留当前经过显示过滤匹配的数据包,怎么做呢? 如图,我只想当前过滤后的数据包可以选择 "导出特定分组" (Wireshark 2.x版本默认支持中文了) 然后就可以保存指定的数据报文了. .

Wireshark技巧-过滤规则和显示规则【转】

转自:https://www.cnblogs.com/icez/p/3973873.html Wireshark是一个强大的网络协议分析软件,最重要的它是免费软件. 过滤规则 只抓取符合条件的包,在Wireshark通过winpacp抓包时可以过滤掉不符合条件的包,提高我们的分析效率. 如果要填写过滤规则,在菜单栏找到capture->options,弹出下面对话框,在capture filter输入框内填写相应的过滤规则,点击下方的start 就生效了. 1.只抓取HTTP报文 tcp por

wireshark 高级实用技巧

1 当局域网抓包时候回产生大量NBNS的包 和其他的一些广播包等影响我们分析,通常可以通过设置网卡不为混杂模式,可是还是会有NBNS的包.而显示过滤的时候是好用的,但是应用到抓包过滤就不好用了,通常我们可以通过,过滤广播包的方法来过滤 not broadcast and not multicast 2 通常我们应用过滤的时候,都是手工在过滤栏中输入过滤条件表达式,我们也可以通过,数据包的内容进行过滤. 会自动形成过滤条件,过滤显示DNS请求包,而不要恢复包,这样可以看出共请求了多少域名.当人这里