Wireshark（前稱Ethereal）是一個網(wǎng)絡封包分析軟件。網(wǎng)絡封包分析軟件的功能是截取網(wǎng)絡封包，并盡可能顯示出最為詳細的網(wǎng)絡封包資料。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進行數(shù)據(jù)報文交換。

一、安裝wireshark

打開終端，輸入安裝命令，在下載完成后需要選擇yes回車同意協(xié)議，然后就會開始安裝，安裝過程很快。

sudo apt-get install wireshark

二、啟動wireshark

輸入命令回車，一定要加上sudo，才有管理員權(quán)限。

sudo wireshark

啟動后界面如下，可以看到是使用Qt開發(fā)的界面，頂端從上至下是標題欄、菜單欄、工具欄和過濾欄。下面是選擇接口作為過濾器，左側(cè)是所有接口名稱，右側(cè)是接口數(shù)據(jù)量大小。比如我需要從以太網(wǎng)口和其他主機進行網(wǎng)絡通信，所以選擇enpls0，然后點擊左上角鯊魚鰭的圖標，開始抓包。

三、使用wireshark

1、下面是抓包一段時間后的結(jié)果，可以看到有很多UDP、ARP、ICMP協(xié)議的網(wǎng)絡報文。

2、我們看到在數(shù)據(jù)列表中不斷地顯示從以太網(wǎng)口抓取到的報文，列表屬性分別為：

| 編號| 時間戳 |源地址|目的地址|協(xié)議|長度|信息|

3、在數(shù)據(jù)列表區(qū)下面是數(shù)據(jù)詳情區(qū)。 在數(shù)據(jù)包列表中選擇任一數(shù)據(jù)包，在數(shù)據(jù)詳情區(qū)中會顯示數(shù)據(jù)包的所有詳細信息。數(shù)據(jù)詳情區(qū)是最重要的，用來查看協(xié)議中的每一個字段。各行信息分別為：

1. Frame: 物理層的數(shù)據(jù)幀概況

2. Ethernet II: 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息

3. Internet Protocol Version 4: 互聯(lián)網(wǎng)層IP包頭部信息

4. User Datagram Protocol: 傳輸層的數(shù)據(jù)段頭部信息，此處是UDP

5. Data: 報文的數(shù)據(jù)位，展開可以看到內(nèi)容

4、緊接著是數(shù)據(jù)字節(jié)區(qū)，數(shù)據(jù)字節(jié)區(qū)左側(cè)是1個字節(jié)1個字節(jié)地顯示，每個字節(jié)用2個16進制數(shù)表示。右側(cè)是16進制對應的10進制數(shù)字對應的ASCLL字符。右下角是數(shù)據(jù)統(tǒng)計區(qū)，表示捕獲到n個分組，顯示x個分組，丟棄n-x個分組。

5、數(shù)據(jù)包列表區(qū)中不同的協(xié)議使用了不同的顏色區(qū)分。協(xié)議顏色標識定位在菜單欄的視圖——>著色規(guī)則。

6、過濾規(guī)則可以說是wireshark的精髓，必須得掌握。在數(shù)據(jù)報文很多的時候，或者多機通信的時候，你需要用過濾規(guī)則保留下你需要的報文。

1. 比較操作符

 比較操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

2. 協(xié)議類型

直接在Filter框中直接輸入?yún)f(xié)議名即可。注意：協(xié)議名稱需要輸入小寫。

• tcp，只顯示TCP協(xié)議的數(shù)據(jù)包列表

• udp，只顯示UDP協(xié)議的數(shù)據(jù)包列表

• http，只查看HTTP協(xié)議的數(shù)據(jù)包列表

3. ip地址

• ip.src ==192.168.1.10，顯示主機ip地址為192.168.1.10發(fā)送的報文列表

• ip.dst==192.168.1.10，顯示主機ip地址為192.168.1.10的接收的報文列表

• ip.addr == 192.168.1.10，顯示源ip地址或目標ip地址為192.168.1.10的報文列表

4. 端口號

• udp.port == 9900, 顯示源主機或者目的主機端口為9900的報文列表。

• udp.srcport == 9900, 只顯示UDP協(xié)議的源主機端口為9900的報文列表。

• udp.dstport == 9900，只顯示UDP協(xié)議的目的主機端口為9900的報文列表。

5. 組合條件

使用多個條件進行過濾時，使用and/or/not。

• 獲取源ip地址為192.168.1.10的udp報文：ip.src == 192.168.1.10 and udp
• 獲取目的ip地址為192.168.1.10且port為9900的udp報文：ip.src == 192.168.1.10 and udp.port == 9900
• 獲取目的ip地址不是192.168.1.10的且port不是9900的udp報文：ip.src != 192.168.1.10 and udp.port != 9900

6. 報文內(nèi)容

如果要以報文的數(shù)據(jù)位作為篩選條件，可以在數(shù)據(jù)詳情區(qū)選擇Data，然后右擊——>作為過濾器——>選中即可。

所有工程都離不開網(wǎng)絡通信文章來源地址http://www.zghlxwxcb.cn/news/detail-784592.html

到了這里，關(guān)于ubuntu下如何使用wireshark抓包，保姆級教程的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！