本工具会监控网卡,将计算机所有的包通过网卡的都抓取下来,涉及多种网络协议。所以,一打开此工具,首先要指定网卡。对于虚拟网卡和多网卡设备,选择网卡时请注意区分。
一旦选择网卡后,会发现屏幕一直不停的在被刷,满屏都是各种字符在跳动,不会使用过滤器,用此工具就像海底捞针。
Capture -> Interfaces,显示所有网卡,包括虚拟网卡。
点击 IP 下列的 16 进制码,可以转换为常见的 IP 格式。
Capture -> Options,在第一排的 Interface 选择 local,网卡选择本地的网卡。其他默认,点击 Start.
过滤器
Filter 分为两种模式
- 捕捉过滤器(CaptureFilters):只抓取过滤规则下的包,需先设置再抓包
- 显示过滤器(DisplayFilters):可以理解为从众多结果中进行查找
实际用的过程,下面的一些案例就已经满足我的工作需求,特别是对于 get 和 post 请求包
Filter 使用
filter 规则填写正确时,表达式背景色显示为绿色,否则显红色,点击 Apply 运用过滤规则。常用规则主要有下面这些。
- get 请求
http.request.method == get
再精确一些
http.request.method == get && http contains info
其中,info 为 http 请求中的字符
或者,直接用
http contains js
会将 js 相关的请求过滤出来
- 筛选 IP
查找目标 IP
ip.dst == 192.168.109.19
或者
ip.dst == 192.168.109.19 && http.request.method == get
又或者,域名多 IP,无法采用指定 IP 的情况
ip.dst_host == misc.pay.xxx.com
也是可以的
- 指定端口
tcp.stream eq 82
to be continued...
