常用抓包工具使用-wireshark使用（二）

---

前言

Wireshark是一个开源的网络协议分析工具，用于捕获和分析网络流量。它可以在多个操作系统平台上运行，包括Windows、Mac和Linux，这里简单记录下wireshark的常用功能

---

提示：以下是本篇文章正文内容，下面案例可供参考

一、wireshark安装

1.1 windows安装

在Windows系统上安装Wireshark是相对简单的过程。以下是Wireshark在Windows系统上的安装步骤：

1. 下载安装程序：
访问Wireshark官方网站：https://www.wireshark.org/
在主页上找到并点击"Download"（下载）按钮。
在下载页面中，找到适用于Windows的安装程序，并选择与你的操作系统位数（32位或64位）相对应的版本。点击下载链接。

2. 运行安装程序：
双击下载的安装程序（.exe文件）以运行安装向导。
如果系统询问是否允许此程序进行更改，请选择"是"。
在安装向导中，你可以选择是否安装Wireshark的附带工具，如WinPcap和USBPcap。根据个人需求选择是否安装它们。
接受许可协议并按照向导提示进行下一步。
3. 选择安装选项：
在安装向导的"选择安装选项"步骤中，可以选择安装的组件。
默认情况下，Wireshark和WinPcap将被选中，你可以根据需要取消或保留选中状态。点击"下一步"继续。

4. 选择启动菜单文件夹：
在"选择启动菜单文件夹"步骤中，选择是否创建Wireshark的快捷方式，并选择启动菜单中的文件夹位置。点击"下一步"继续。

5. 选择附加任务：
在"选择附加任务"步骤中，你可以选择创建桌面快捷方式以及注册为默认捕获程序。根据需要选择相关选项，并点击"下一步"继续。

6. 安装：
点击"安装"按钮开始安装Wireshark和相关组件。等待安装程序完成安装过程。

7. 完成：
安装完成后，安装程序将显示安装完成页面。确保选中"启动Wireshark"选项，并点击"完成"按钮。
现在，你应该已经成功安装了Wireshark，并可以开始使用它来进行网络流量的捕获和分析。
注意：安装过程中可能需要管理员权限。确保你具有足够的权限以完成安装。

1.2 mac安装

在Mac系统上安装Wireshark也是相对简单的过程。以下是Wireshark在Mac系统上的安装步骤：

1. 访问Wireshark官方网站：

打开浏览器，访问Wireshark官方网站：https://www.wireshark.org/

2. 下载安装程序：
在主页上找到并点击"Download"（下载）按钮。
在下载页面中，找到适用于Mac的安装程序，并点击下载链接。

3. 安装Wireshark：
下载完成后，你将得到一个.dmg文件。双击打开该文件，会弹出一个安装窗口。
在安装窗口中，你会看到Wireshark图标和应用程序文件夹图标。
将Wireshark图标拖动到应用程序文件夹图标中，以将Wireshark安装到Applications（应用程序）目录。

注：Install ChmodBPF.pkg和Add Wireshark to the system path.pkg需要执行.

问题：
mac打开wireshark提示无权限：Could not create profiles directory "/Users…，
解决方法：执行命令

sudo chown username:group ~/.config

二、wireshark抓包和过滤

2.1 打开Wireshark

在Windows系统上，双击打开Wireshark应用程序。
在Mac系统上，打开应用程序文件夹，找到Wireshark应用程序并双击打开。

2.2 选择网络接口：

在Wireshark主界面上，你将看到可用的网络接口列表。
选择你要进行抓包的网络接口。例如，如果你想抓取以太网接口的流量，选择相应的以太网接口，选择后直接开始请求捕获。

2.3 wireshark抓包页面简介

功能依次为：
1. 开始捕获按钮
2. 停止捕获按钮
3. 重新开始捕获按钮
4. 捕获设置按钮，可以进行网络接口切换及配置
5. 报文打开按钮
6. 捕获保存按钮
7. 捕获关闭按钮
8. 捕获重新加载按钮
9. 查找分组按钮
10. 转到前一个分组
11. 转到后一个分组
12. 转到特定分组
13. 转到首个分组
14. 转到最新分组
15. 放大主窗口
16. 缩小主窗口
17. 还原主窗口大小
18. 调整分组自适应

2.4 数据过滤

可以看到补货到的数据比较多，很难找到自己需要的数据，所以要进行数据的过滤，掌握一些常用的过滤方法，过滤表达式填写在应用过滤器处

下面总结常用的过滤

1. 过滤特定IP地址：

显示源IP地址为192.168.0.1的数据包：ip.src == 192.168.0.1
显示目标IP地址为192.168.0.1的数据包：ip.dst == 192.168.0.1
显示源或目标IP地址为192.168.0.1的数据包：ip.addr == 192.168.0.1

2. 过滤特定协议：

显示HTTP协议的数据包：http
显示TCP协议的数据包：tcp
显示UDP协议的数据包：udp
显示ICMP协议的数据包：icmp

3. 过滤特定端口：

显示源或目标端口为80的数据包：tcp.port == 80 or udp.port == 80
显示源端口为8080的数据包：tcp.srcport == 8080
显示目标端口为443的数据包：tcp.dstport == 443

4. 过滤特定协议字段：

显示包含特定URL的HTTP请求数据包：http.request.uri contains “example.com”
显示包含特定域名的DNS响应数据包：dns.resp.name contains “example.com”

5. 组合过滤条件：

显示源IP地址为192.168.0.1并且目标端口为80的数据包：ip.src == 192.168.0.1 and tcp.dstport == 80
显示源IP地址为192.168.0.1或目标IP地址为192.168.0.2的数据包：ip.src == 192.168.0.1 or ip.dst == 192.168.0.2

三、wireshark数据包解析和显示

Wireshark提供了详细的数据包解析和显示功能，使你能够深入分析网络流量。以下是Wireshark数据包解析和显示的详细说明

3.1 数据包列表

Wireshark的主界面显示了捕获到的数据包列表。每个数据包都有一行条目，显示了一些基本信息，如下图所示：

依次为：编号、时间、源地址、目标地址、协议、长度、详情

3.2. 数据包详细信息

选择列表中的任何数据包，Wireshark将在底部窗格中显示该数据包的详细信息。这些详细信息按照协议层级进行组织和展示。

3.3 协议分层

Wireshark将数据包的每个协议层进行分层展示。你可以展开每个层级以查看协议字段和值。
例如，以太网帧、IP头部、TCP或UDP头部等都可以展开以查看其中的详细信息。
已http协议为例展示：

分层依次为：

物理层（Physical Layer）：

物理层是OSI模型中的最底层，负责传输比特流（bits）。
Wireshark对物理层数据不做解析，通常以二进制形式显示。

数据链路层（Data Link Layer）：
数据链路层负责将比特流转换为数据帧（Data Frame），并进行错误检测和校正。
Wireshark将数据链路层解析为具体的协议，如以太网（Ethernet）、无线局域网（Wi-Fi）等。

网络层（Network Layer）：
网络层负责在网络上寻址和路由数据包，以确保它们能够正确到达目标地址。
Wireshark将网络层解析为协议，如互联网协议（IP）、互联网控制报文协议（ICMP）、地址解析协议（ARP）等。

传输层（Transport Layer）：
传输层提供端到端的通信，确保数据可靠传输，负责分割和重组数据。
Wireshark将传输层解析为协议，如传输控制协议（TCP）、用户数据报协议（UDP）等。

应用层（Application Layer）：
应用层包含各种协议和应用程序，用于实现特定的网络功能和服务。
Wireshark将应用层解析为具体的协议，如超文本传输协议（HTTP）、域名系统（DNS）、简单邮件传输协议（SMTP）等。

3.4 报文中字段和值

在每个协议层级中，Wireshark显示了各个字段和相应的值。
字段是协议中定义的特定数据项，如源IP地址、目标IP地址、端口号等。
值是字段对应的具体数值，Wireshark会对其进行解析和显示。

3.5 解析和展示

Wireshark能够解析和展示众多网络协议的字段和值。
对于常见的协议，Wireshark可以自动识别并提供有关协议的详细信息。
对于自定义协议或不常见的协议，Wireshark可能无法提供完整的解析，但仍然会显示原始数据。

3.6 色彩标记

Wireshark使用不同的颜色对数据包进行标记，以帮助区分不同的协议和数据流。
不同协议的字段和值也可以以不同的颜色显示，使其更易于识别和区分。

四、wireshark其他功能

4.1 数据包列表功能

4.2 协议分层功能

4.3 报文解析功能

总结

提示：这里对文章进行总结：
内容有点多，后面单独做一篇介绍协议分层中的内容吧。