快捷導(dǎo)航

wireshark網(wǎng)絡(luò)抓包工具的使用教程

更新時間：2023年08月29日 14:26:03 作者：明黔雨後

WireShark是非常流行的網(wǎng)絡(luò)抓包分析工具,可以截取各種網(wǎng)絡(luò)數(shù)據(jù)包,并顯示數(shù)據(jù)包詳細(xì)信息,下面就跟隨小編一起學(xué)習(xí)一下wireshark的具體使用吧

簡介

WireShark是非常流行的網(wǎng)絡(luò)抓包分析工具，可以截取各種網(wǎng)絡(luò)數(shù)據(jù)包，并顯示數(shù)據(jù)包詳細(xì)信息。常用于開發(fā)測試過程中各種問題定位。

本文主要內(nèi)容包括：

1、Wireshark軟件下載和安裝以及Wireshark主界面介紹。

2、WireShark簡單抓包示例。通過該例子學(xué)會怎么抓包以及如何簡單查看分析數(shù)據(jù)包內(nèi)容。

3、Wireshark過濾器使用。通過過濾器可以篩選出想要分析的內(nèi)容。包括按照協(xié)議過濾、端口和主機名過濾、數(shù)據(jù)包內(nèi)容過濾。

WireShark軟件安裝

軟件下載路徑：wireshark官網(wǎng)。按照系統(tǒng)版本選擇下載，下載完成后，按照軟件提示一路Next安裝。

如果你是Win10系統(tǒng)，安裝完成后，選擇抓包但是不顯示網(wǎng)卡，下載win10pcap兼容性安裝包。下載路徑：win10pcap兼容性安裝包

Wireshark 開始抓包示例

打開wireshark后在抓包前要選擇網(wǎng)絡(luò)，根據(jù)自己的網(wǎng)絡(luò)配置通常雙擊選擇以太網(wǎng)或者WLAN

進(jìn)入抓包界面后，我們可以看到獲取到了很多的請求，這里我們先假定抓取自己的目標(biāo)請求百度首頁，https://www.baidu.com/

wireshark抓包完成，就這么簡單。關(guān)于wireshark過濾條件和如何查看數(shù)據(jù)包中的詳細(xì)內(nèi)容在后面介紹。通過上面操作你會發(fā)現(xiàn)有很多數(shù)據(jù)，很難找到我們要分析的數(shù)據(jù)，那么接下來帶著這個問題，我們可以學(xué)習(xí)一下wireshark的過濾功能

Wireshark過濾器設(shè)置

初學(xué)者使用wireshark時，將會得到大量的冗余數(shù)據(jù)包列表，以至于很難找到自己自己抓取的數(shù)據(jù)包部分。wireshar工具中自帶了兩種類型的過濾器，學(xué)會使用這兩種過濾器會幫助我們在大量的數(shù)據(jù)中迅速找到我們需要的信息。

（1）抓包過濾器

捕獲過濾器的菜單欄路徑為捕【捕獲】-> 【捕獲過濾器】。用于在抓取數(shù)據(jù)包前設(shè)置。

（2）顯示過濾器顯示過濾器是用于在抓取數(shù)據(jù)包后設(shè)置過濾條件進(jìn)行過濾數(shù)據(jù)包。通常是在抓取數(shù)據(jù)包時設(shè)置條件相對寬泛，抓取的數(shù)據(jù)包內(nèi)容較多時使用顯示過濾器設(shè)置條件過濾以方便分析。

在這里設(shè)置http，意思是僅展示Protoco為http的數(shù)據(jù)。

還可以根據(jù)目表地址的ip作為過濾條件，如圖

一次設(shè)置多個條件，中間用and連接

停止抓包

點擊左上角的「紅色按鈕」，可以停止抓包

保存數(shù)據(jù)

點擊右上角的「文件」，選擇「保存」，可以保存抓包的數(shù)據(jù)

也可以直接點擊工具欄的保存按鈕

界面介紹

Wireshark 的主界面包含6個部分：

菜單欄：用于調(diào)試、配置工具欄：常用功能的快捷方式過濾欄：指定過濾條件，過濾數(shù)據(jù)包數(shù)據(jù)包列表：核心區(qū)域，每一行就是一個數(shù)據(jù)包數(shù)據(jù)包詳情：數(shù)據(jù)包的詳細(xì)數(shù)據(jù)數(shù)據(jù)包字節(jié)：數(shù)據(jù)包對應(yīng)的字節(jié)流，二進(jìn)制

基礎(chǔ)操作

接下來，我們學(xué)習(xí)一下Wireshark常用的操作。

1. 調(diào)整界面大小

工具欄中的三個「放大鏡」圖標(biāo)，可以調(diào)整主界面數(shù)據(jù)的大小。

從左到右依次是：放大、縮小、還原默認(rèn)大小。

2. 設(shè)置顯示列

數(shù)據(jù)包列表是最常用的模塊之一，列表中有一些默認(rèn)顯示的列，我們可以添加、刪除、修改顯示的列。

1）添加顯示列

想要在數(shù)據(jù)列表中顯示某一個字段，可以將這個數(shù)據(jù)字段添加至顯示列中。左鍵選中想要添加為列的字段，右鍵選擇「應(yīng)用為列」。

選中字段，按 Ctrl + Shift + I ，也可以實現(xiàn)同樣的效果。

添加為列的字段會在數(shù)據(jù)列表中顯示。

2）隱藏顯示列

暫時不想查看的列，可以暫時隱藏起來。在顯示列的任意位置右鍵，取消列名的「勾選」，即可隱藏顯示列。

3）刪除顯示列

不需要查看的字段，可以從顯示列中刪除。右鍵需要刪除的列，點擊最下方的「Remove this Column」。

注意：隱藏字段時，在列名欄的任意位置右鍵即可；而刪除字段時，需要在指定的列名位置右鍵，以防誤刪。

3. 設(shè)置時間

數(shù)據(jù)包列表欄的時間這一列，默認(rèn)顯示格式看起來很不方便，我們可以調(diào)整時間的顯示格式。點擊工具欄的「視圖」，選擇「時間顯示格式」，設(shè)置你喜歡的格式。

4. 標(biāo)記數(shù)據(jù)包

對于某些比較重要的數(shù)據(jù)包，可以設(shè)置成高亮顯示，以達(dá)到標(biāo)記的目的。選中需要標(biāo)記的數(shù)據(jù)包，右鍵選擇最上面的「標(biāo)記/取消標(biāo)記」。

選中數(shù)據(jù)包，按 Ctrl + M 也可以實現(xiàn)同樣的效果，按兩次可以取消標(biāo)記。

5. 導(dǎo)出數(shù)據(jù)包

演示快速抓包時，我們講過保存數(shù)據(jù)包的操作，保存操作默認(rèn)保存所有已經(jīng)抓取的數(shù)據(jù)包。但有時候，我們只需要保存指定的數(shù)據(jù)包，這時候可以使用導(dǎo)出的功能。

1）導(dǎo)出單個數(shù)據(jù)包選中數(shù)據(jù)包，點擊左上角的「文件」，點擊「導(dǎo)出特定分組」。

在「導(dǎo)出分組界面」，選擇第二個「Selected packets only」，只保存選中的數(shù)據(jù)包。

2）導(dǎo)出多個數(shù)據(jù)包有時候我們需要導(dǎo)出多個數(shù)據(jù)包，Wireshark有一個導(dǎo)出標(biāo)記的數(shù)據(jù)包的功能，我們將需要導(dǎo)出的數(shù)據(jù)包都標(biāo)記起來，就可以同時導(dǎo)出多個數(shù)據(jù)包。

點擊左上角的「文件」，點擊「導(dǎo)出特定分組」。

在「導(dǎo)出分組界面」，勾選第三個「Marked packets only」，只導(dǎo)出標(biāo)記的數(shù)據(jù)包。

6. 開啟混雜模式

局域網(wǎng)的所有流量都會發(fā)送給我們的電腦，默認(rèn)情況下，我們的電腦只會對自己mac的流量進(jìn)行解包，而丟棄其他mac的數(shù)據(jù)包。開啟混雜模式后，我們就可以解析其他mac的數(shù)據(jù)包，因此，我們使用Wireshark時，通常都會開啟混雜模式。

點擊菜單欄的「捕獲」按鈕，點擊「選項」。