wireshark網(wǎng)絡(luò)抓包工具基礎(chǔ)使用教程

這篇具有很好參考價值的文章主要介紹了wireshark網(wǎng)絡(luò)抓包工具基礎(chǔ)使用教程。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方，請大家不吝賜教，您也可以點擊"舉報違法"按鈕提交疑問。

?簡介

WireShark軟件安裝

Wireshark 開始抓包示例

Wireshark過濾器設(shè)置

停止抓包

?編輯保存數(shù)據(jù)

界面介紹

基礎(chǔ)操作

1. 調(diào)整界面大小

2. 設(shè)置顯示列

1）添加顯示列

?2）隱藏顯示列

3）刪除顯示列

3. 設(shè)置時間

?4. 標記數(shù)據(jù)包

5. 導出數(shù)據(jù)包

6. 開啟混雜模式

?簡介

WireShark是非常流行的網(wǎng)絡(luò)抓包分析工具，可以截取各種網(wǎng)絡(luò)數(shù)據(jù)包，并顯示數(shù)據(jù)包詳細信息。常用于開發(fā)測試過程中各種問題定位。本文主要內(nèi)容包括：
1、Wireshark軟件下載和安裝以及Wireshark主界面介紹。

2、WireShark簡單抓包示例。通過該例子學會怎么抓包以及如何簡單查看分析數(shù)據(jù)包內(nèi)容。

3、Wireshark過濾器使用。通過過濾器可以篩選出想要分析的內(nèi)容。包括按照協(xié)議過濾、端口和主機名過濾、數(shù)據(jù)包內(nèi)容過濾。

WireShark軟件安裝

軟件下載路徑：wireshark官網(wǎng)。按照系統(tǒng)版本選擇下載，下載完成后，按照軟件提示一路Next安裝。

如果你是Win10系統(tǒng)，安裝完成后，選擇抓包但是不顯示網(wǎng)卡，下載win10pcap兼容性安裝包。下載路徑：win10pcap兼容性安裝包

Wireshark 開始抓包示例

打開wireshark后在抓包前要選擇網(wǎng)絡(luò)，根據(jù)自己的網(wǎng)絡(luò)配置通常雙擊選擇以太網(wǎng)或者WLAN

以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器

?進入抓包界面后，我們可以看到獲取到了很多的請求，這里我們先假定抓取自己的目標請求百度首頁，https://www.baidu.com/ 以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器

?wireshark抓包完成，就這么簡單。關(guān)于wireshark過濾條件和如何查看數(shù)據(jù)包中的詳細內(nèi)容在后面介紹。通過上面操作你會發(fā)現(xiàn)有很多數(shù)據(jù)，很難找到我們要分析的數(shù)據(jù)，那么接下來帶著這個問題，我們可以學習一下wireshark的過濾功能

Wireshark過濾器設(shè)置

初學者使用wireshark時，將會得到大量的冗余數(shù)據(jù)包列表，以至于很難找到自己自己抓取的數(shù)據(jù)包部分。wireshar工具中自帶了兩種類型的過濾器，學會使用這兩種過濾器會幫助我們在大量的數(shù)據(jù)中迅速找到我們需要的信息。
（1）抓包過濾器

捕獲過濾器的菜單欄路徑為捕【捕獲】-> 【捕獲過濾器】。用于在抓取數(shù)據(jù)包前設(shè)置。
以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器

以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器

?（2）顯示過濾器
顯示過濾器是用于在抓取數(shù)據(jù)包后設(shè)置過濾條件進行過濾數(shù)據(jù)包。通常是在抓取數(shù)據(jù)包時設(shè)置條件相對寬泛，抓取的數(shù)據(jù)包內(nèi)容較多時使用顯示過濾器設(shè)置條件過濾以方便分析。

?在這里設(shè)置http，意思是僅展示Protoco為http的數(shù)據(jù)。

以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器

還可以根據(jù)目表地址的ip作為過濾條件，如圖

以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器

?一次設(shè)置多個條件，中間用and連接

以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器

停止抓包

點擊左上角的「紅色按鈕」，可以停止抓包

保存數(shù)據(jù)

點擊右上角的「文件」，選擇「保存」，可以保存抓包的數(shù)據(jù)

? 以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器

也可以直接點擊工具欄的保存按鈕

以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器

界面介紹

以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器

Wireshark 的主界面包含6個部分：

菜單欄：用于調(diào)試、配置
工具欄：常用功能的快捷方式
過濾欄：指定過濾條件，過濾數(shù)據(jù)包
數(shù)據(jù)包列表：核心區(qū)域，每一行就是一個數(shù)據(jù)包
數(shù)據(jù)包詳情：數(shù)據(jù)包的詳細數(shù)據(jù)
數(shù)據(jù)包字節(jié)：數(shù)據(jù)包對應(yīng)的字節(jié)流，二進制

基礎(chǔ)操作

接下來，我們學習一下Wireshark常用的操作。

以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器

1. 調(diào)整界面大小

工具欄中的三個「放大鏡」圖標，可以調(diào)整主界面數(shù)據(jù)的大小。

從左到右依次是：放大、縮小、還原默認大小。

2. 設(shè)置顯示列

數(shù)據(jù)包列表是最常用的模塊之一，列表中有一些默認顯示的列，我們可以添加、刪除、修改顯示的列。

1）添加顯示列

以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器
想要在數(shù)據(jù)列表中顯示某一個字段，可以將這個數(shù)據(jù)字段添加至顯示列中。
左鍵選中想要添加為列的字段，右鍵選擇「應(yīng)用為列」。

選中字段，按 Ctrl + Shift + I ，也可以實現(xiàn)同樣的效果。

添加為列的字段會在數(shù)據(jù)列表中顯示。

2）隱藏顯示列

暫時不想查看的列，可以暫時隱藏起來。
在顯示列的任意位置右鍵，取消列名的「勾選」，即可隱藏顯示列。

以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器

3）刪除顯示列

不需要查看的字段，可以從顯示列中刪除。
右鍵需要刪除的列，點擊最下方的「Remove this Column」。

以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器
注意：隱藏字段時，在列名欄的任意位置右鍵即可；而刪除字段時，需要在指定的列名位置右鍵，以防誤刪。

3. 設(shè)置時間

數(shù)據(jù)包列表欄的時間這一列，默認顯示格式看起來很不方便，我們可以調(diào)整時間的顯示格式。
點擊工具欄的「視圖」，選擇「時間顯示格式」，設(shè)置你喜歡的格式。

4. 標記數(shù)據(jù)包

對于某些比較重要的數(shù)據(jù)包，可以設(shè)置成高亮顯示，以達到標記的目的。
選中需要標記的數(shù)據(jù)包，右鍵選擇最上面的「標記/取消標記」。

? 以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器

?
選中數(shù)據(jù)包，按 Ctrl + M 也可以實現(xiàn)同樣的效果，按兩次可以取消標記。

5. 導出數(shù)據(jù)包

演示快速抓包時，我們講過保存數(shù)據(jù)包的操作，保存操作默認保存所有已經(jīng)抓取的數(shù)據(jù)包。但有時候，我們只需要保存指定的數(shù)據(jù)包，這時候可以使用導出的功能。

1）導出單個數(shù)據(jù)包
選中數(shù)據(jù)包，點擊左上角的「文件」，點擊「導出特定分組」。

以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器
在「導出分組界面」，選擇第二個「Selected packets only」，只保存選中的數(shù)據(jù)包。

? 以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器

2）導出多個數(shù)據(jù)包
有時候我們需要導出多個數(shù)據(jù)包，Wireshark有一個導出標記的數(shù)據(jù)包的功能，我們將需要導出的數(shù)據(jù)包都標記起來，就可以同時導出多個數(shù)據(jù)包。

點擊左上角的「文件」，點擊「導出特定分組」。

以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器
在「導出分組界面」，勾選第三個「Marked packets only」，只導出標記的數(shù)據(jù)包。

? 以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器

6. 開啟混雜模式

局域網(wǎng)的所有流量都會發(fā)送給我們的電腦，默認情況下，我們的電腦只會對自己mac的流量進行解包，而丟棄其他mac的數(shù)據(jù)包。
開啟混雜模式后，我們就可以解析其他mac的數(shù)據(jù)包，因此，我們使用Wireshark時，通常都會開啟混雜模式。

點擊菜單欄的「捕獲」按鈕，點擊「選項」。

以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器
勾選在所有接口上使用混雜模式。

六、過濾器操作
過濾器是Wireshark的核心功能，也是我們平時使用最多的一個功能。

Wireshark提供了兩個過濾器：抓包過濾器和顯示過濾器。兩個過濾器的過濾思路不同。

抓包過濾器：重點在動作，需要的包我才抓，不需要的我就不抓。
顯示過濾器：重點在數(shù)據(jù)的展示，包已經(jīng)抓了，只是不顯示出來。
1. 抓包過濾器
抓包過濾器在抓包前使用，它的過濾有一個基本的語法格式：BPF語法格式。

1）BPF語法
BPF（全稱 Berkeley Packet Filter），中文叫伯克利封包過濾器，它有四個核心元素：類型、方向、協(xié)議和邏輯運算符。

類型Type：主機（host）、網(wǎng)段（net）、端口（port）
方向Dir：源地址（src）、目標地址（dst）
協(xié)議Proto：各種網(wǎng)絡(luò)協(xié)議，比如：tcp、udp、http
邏輯運算符：與（ && ）、或（ || ）、非（ ?。?br> 四個元素可以自由組合，比如：

src host 192.168.31.1：抓取源IP為 192.168.31.1 的數(shù)據(jù)包
tcp || udp：抓取 TCP 或者 UDP 協(xié)議的數(shù)據(jù)包
2）使用方式
使用抓包過濾器時，需要先停止抓包，設(shè)置完過濾規(guī)則后，再開始抓包。

停止抓包的前提下，點擊工具欄的捕獲按鈕，點擊選項。

以太網(wǎng)抓包工具,網(wǎng)絡(luò),wireshark,服務(wù)器
在彈出的捕獲選項界面，最下方的輸入框中輸入過濾語句，點擊開始即可抓包。