过滤器比较高级,但是也很重要,我决定通过一个案例来学习过滤器的知识点。
比如,我现在访问 zhangdapeng.com 我希望能够捕获关于这个域名下的流量,该如何实现呢?
我选择了捕获以太网的流量,但是目前捕获到的内容实在是太多了,因为电脑里面开了很多个软件,这些软件走的都是以太网的流量。
接着,我想到了协议过滤器,我们访问网址,走的应该是HTTP类型的协议。
不过比较遗憾的是wireshark没有直接能够捕获HTTP的过滤器,经过一番查找,找到了如下小技巧。
IP地址及域名过滤:
bash
ip.src ==host or dns.qry.name contains "Domain"Filter expression:
bash
ip.addr==104.17.41.137 or dns.qry.name contains "www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com"这里我的想法是不要or,直接添加一个过滤器内容如下:
bash
dns.qry.name contains "zhangdapeng.com"
但是我发现上面的配置没有生效,好在顶部还有一个过滤器配置,我选择配置如下:
但是结果就是找不到:
但是这种方案并不靠谱,最终还是得通过IP进行捕获才行。
通过这个地址可以查询IP地址:https://ip.900cha.com/
比如我查百度的IP:
接着我拿着这个IP,去进行过滤:
bash
ip.addr == 39.156.66.10但是很显然,并不行,应该是拿到了一个假的IP:
接着我查这个网站自己的IP:
构造过滤器如下:
bash
ip.addr == 118.107.43.216接着我通过浏览器重新访问网址 https://ip.900cha.com/ip.900cha.com.html,就得到了如下内容:
成功的捕获到了相关的流量信息。
所以说,在我们想要对某个网站的流量进行分析之前,拿到其真实的IP地址太重要了。
在二进制数据包里面,还包含了所有的流量信息,如果没有做合适的加密处理,每次的流量内容我们也能够很轻松的获取到。
以上就是wireshark捕获器的一次实战使用流程了,如果跟着走一遍,你应该也能够掌握到底如何使用wireshark捕获指定网站的流量了。