Wireshark(网络抓包工具)

Wireshark是一款很棒的Unix和Windows上的开源互联网协议剖析器。Wireshark中文版可以实时测试互联网通讯数据，也可以测试其抓取的互联网通讯数据网站快照文件。Wireshark中文版可以通过图形界面浏览这类数据，可以查询互联网通讯数据包中每一层的详细内容。Wireshark拥有很多强大的特质：包括有强显示过滤器语言（rich display filter language）和查询TCP会话重构流的能力；它更支持上百种协议和媒体种类； 拥有一个类似tcpdump的名为tethereal的的命令行版本。

特点功能：

Wireshark（前称Ethereal）是一个互联网封包剖析软件。互联网封包剖析软件的功能是撷取互联网封包, 并尽量显示出最为详细的互联网封包资料。互联网封包剖析软件的功能可想像成 电工技师用电表来量测电流、电压、电阻 的工作 - 只不过将场景移植到互联网上，并将电线替换成互联网线。

在过去，互联网封包剖析软件是很昂贵，或是专门是营借助的软件。Ethereal的出现改变了这所有。在GNU GPL通用许可证的保障范围底下，用户可以以不收费的代价获得软件与其程式码，并拥有针对其原始码修改及客制化的权利。Ethereal是现在全世界最广泛的互联网封包剖析软件之一

Wireshakr抓包界面

说明：数据包列表区中不一样的协议用了不一样的颜色区别。协议颜色标识定位在菜单栏View -- Coloring Rules。如下所示

WireShark 主要分为这几个界面

1. Display Filter， 用于设置过滤条件进行数据包列表过滤。菜单路径：Analyze --Display Filters。

2. Packet List Pane， 显示捕获到的数据包，每一个数据包包括编号，时间戳，源地址，目的地址，协议，长度，与数据包信息。 不同协议的数据包用了不一样的颜色区别显示。

3. Packet Details Pane, 在数据包列表中选择指定数据包，在数据包详细情况中会显示数据包的所有详细情况内容。数据包详细情况面板是非常重要的，用来查询协议中的每个字段。各行信息分别为

（1）Frame:物理层的数据帧概况

（2）EthernetII:数据链路层以太网帧头部信息

（3）Internet Protocol Version 4:网络层IP包头部信息

（4）Transmission Control Protocol:传输层T的数据段头部信息，此处是TCP

（5）Hypertext Transfer Protocol:应用层的信息，此处是HTTP协议

TCP包的具体内容

从下图可以看到wireshark捕获到的TCP包中的每一个字段。

4. Dissector Pane。

Wireshark过滤器设置

新手用wireshark时，将会得到很多的冗余数据包列表，以至于非常难找到自己自己抓取的数据包部分。wireshar工具中自带了两类型型的过滤器，掌握用这两种过滤器会帮助大家在很多的数据中飞速找到大家需要的信息。

（1）抓包过滤器

捕获过滤器的菜单栏路径为Capture -- Capture Filters。用于在抓取数据包前设置。

怎么用？可以在抓取数据包前设置如下。

ip host 60.207.246.216 and icmp表示只捕获主机IP为60.207.246.216的ICMP数据包。获得结果如下：

（2）显示过滤器

显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。一般是在抓取数据包时设置条件相对宽泛，抓取的数据包内容较多时用显示过滤器设置条件顾虑以便捷剖析。同样上述场景，在捕获时未设置捕获规则直接通过网卡进行抓取所有数据包，如下

实行ping www.huawei.com获得的数据包列表如下

察看上述获得的数据包列表，含有很多的无效数据。这个时候可以通过设置显示器过滤条件进行提取剖析信息。ip.addr == 211.162.2.183 and icmp。并进行过滤。

上述介绍了抓包过滤器和显示过滤器的基本用法。在组网不复杂或者流量不大状况下，用显示器过滤器进行抓包后处置就能满足大家用。下面介绍一下两者间的语法与它们有什么区别。

TAG标签：Wireshark(1)网络协议(1)网络通讯(1)网络封包(1)

转载请说明来源于当快软件园（https://www.lrvxg.com）

本文地址：https://www.lrvxg.com/soft/503.html

郑重声明：文章来源于网络作为参考，本站仅用于分享不存储任何下载资源,如果网站中图片和文字侵犯了您的版权，请联系我们处理！邮箱3450399331@qq.com