抓包工具 Wireshark 使用介紹

　　Wireshark(前稱Ethereal)是一個(gè)網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是擷取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark 使用 WinPCAP 作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換。

　　Wireshark環(huán)境搭建

　　1)Windows環(huán)境

　　下載一個(gè)安裝包，默認(rèn)配置，一路 next 即可完成安裝。安裝包下載請點(diǎn)此處。

　　

　　2)ubuntu環(huán)境(這里測試環(huán)境為 ubuntu 12.04(32位)，不同版本有所差異，使用方法卻差不多)

　　在終端敲安裝命令：sudo apt-get install wireshark

　　

　　Wireshark使用簡單流程1)打開 Wireshark

　　Windows 雙擊即可打開 Wireshark。

　　ubuntu 如何啟動(dòng) wireshark ?

　　需要超級用戶打開，在終端上敲：sudo wireshark

　　

　　2)如果沒有接口列表，打開接口列表

　　方法1：

　　

　　方法2：

　　

　　3)選擇合適網(wǎng)卡，這里抓所有網(wǎng)卡的的數(shù)據(jù)。

　　方法1：

　　

　　方法2：

　　

　　4)已經(jīng)開始捕捉數(shù)據(jù)包( Wireshark 會(huì)捕捉系統(tǒng)發(fā)送和接收的每一個(gè)報(bào)文)，捕捉到需要的數(shù)據(jù)包后可以停止捕捉。

　　

　　停止抓包后，如何重新開始?

　　

　　在捕捉報(bào)文時(shí)，往往需要過濾數(shù)據(jù)包，這樣可以更準(zhǔn)確捕捉到我們所需要的報(bào)文。

　　在 Filter 這個(gè)框里 寫上過濾的規(guī)則，回車即可過濾出想要的數(shù)據(jù)包。

　　

　　這些規(guī)則可以通過“或”、“且”、“非” 來連接，進(jìn)行更詳細(xì)的過濾。

　　

　　

　　也可以點(diǎn)擊 Expression 進(jìn)行選擇，這個(gè)過濾法則多去嘗試，就能應(yīng)用的更熟練。

　　

　　如果過濾語句不對，背景色會(huì)呈現(xiàn)粉紅色，正確呈現(xiàn)淺綠色。

　　

　　

　　Wireshark 窗口介紹

　　數(shù)據(jù)包列表(Packet List)：用表格顯示了當(dāng)前捕獲文件中的所有數(shù)據(jù)包，其中包括了數(shù)據(jù)包序號、數(shù)據(jù)包被捕獲的相對時(shí)間、數(shù)據(jù)包的源地址和目標(biāo)地址、數(shù)據(jù)包的協(xié)議以及在數(shù)據(jù)包中找到的概況信息等列。點(diǎn)擊某一行可以在下面兩個(gè)窗口看到更多信息。

　　

　　數(shù)據(jù)包細(xì)節(jié)(Packet Details)：用分層大的方式顯示了一個(gè)數(shù)據(jù)包中的內(nèi)容，并且可以通過展開或是收縮來顯示這個(gè)數(shù)據(jù)包中所捕獲到的全部內(nèi)容。

　　數(shù)據(jù)包字節(jié)(Packet Bytes)：顯示了一個(gè)數(shù)據(jù)包未經(jīng)處理的原始樣子，也就是其在鏈路上傳播時(shí)的樣子。