wireshark抓包工具的使用

news2024/7/6 20:35:48

前言
①wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。

②使用wireshark的人必须了解网络协议，否则就看不懂wireshark。

③为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

④wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP、HTTPS 还是用Fiddler抓包工具，其他协议比如TCP，UDP 就用wireshark抓包工具。

⑤Wireshark 的强大之处在于它不仅能捕获数据包，还能对捕获的数据进行进一步的分析。具体来说，对pcap包的分析可以分为：

过滤功能——输入过滤规则，并显示符合规则的分组

统计功能——对所有/部分数据包的情况进行总览

分析功能——将某些字段作为过滤器应用&启用/停用某些协议

查找功能——在所有/部分数据包中查找特定值

查看功能——查看字段/分组/会话的字节流
1、Wireshark 开始页面

【注意】wireshark是捕获机器上的某一块网卡的网络包（网络包都是通过主机的网卡发出到对应的服务器上面，可以理解为应用层发出的请求网络包由本机网卡发向指定主机上），所以当机器上有多块网卡的时候，你需要选择一个网卡（可以上网的那一个网卡）

点击 Caputre->Interfaces ，出现下面对话框，选择正确的网卡。然后点击 Start 按钮, 开始抓包。

与上图对比，上图中选择的网卡对应的是我的主机发包的网卡。

2、Wireshark网络封包分析软件开始抓包示例
①wireshark启动后，wireshark处于抓包状态中。

②执行需要抓包的操作，如 ping www.baidu.com

③操作完成后相关数据包就抓取到了。为避免其他无用的数据包影响分析，可以通过在过滤栏设置过滤条件进行数据包列表过滤；

获取结果如下。

说明： ip.addr == 119.75.217.26 and icmp 表示只显示ICPM协议且源主机IP或者目的主机IP为119.75.217.26的数据包。

3、Wireshark 窗口介绍

WireShark网络封包分析软件主要分为这几个界面：

① Display Filter (显示过滤器)：用于过滤。

② Packet List Pane (封包列表)：显示捕获到的封包，有源地址和目标地址，端口号。颜色不同代表抓取封包的协议不同。

③ Packet Details Pane (封包详细信息),：显示封包中的字段。

④ Dissector Pane (16进制数据)

⑤ Miscellanous (地址栏，杂项)

4、颜色区分Wireshark网络封包分析软件抓取到的不同网络协议
说明：数据包列表区中不同的网络协议使用了不同的颜色区分。

协议颜色标识定位在菜单栏 View ---》 Coloring Rules 。（视图---》着色规则）如下所示：

5、过滤

①使用过滤是非常重要的，初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。【过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。】

②Wireshark 工具的过滤器有两种：

显示过滤器：就是主界面上那个，用来在捕获的记录中找到所需要的记录。（显示过滤器如上图）
捕获过滤器：用来过滤捕获的封包，以免捕获太多的记录。在 Capture -> Capture Filters 中设置保存过滤。【在Filter栏上，填好Filter的表达式后，点击 Save 按钮，取个名字。比如"Filter 102"】（如下图）