网络抓包工具wireshark

网络抓包工具wireshark是一款非常专业的网络数据监控软件，可以帮助用户更好的进行网络调试，强大的抓包功能，让你更好的分享网络数据传输，各种解释器，过滤器功能，让你抓到你想要的数据包，更多精彩内容尽在当易网！

wireshark中文版介绍

-1997年底，geraldcombs需要一个能够追踪网络流量的工具软件作为其工作上的辅助。因此他开始撰写ethereal软件。ethereal在经过几次中断开发的事件过后，终于在1998年7月释出其第一个版本v0.2.0。自此之后，combs收到了来自全世界的修补程式、错误回报与鼓励信件。ethereal的发展就此开始。不久之后，gilbertramirez看到了这套软件的开发潜力并开始参予低阶程式的开发。

wireshark使用教程

wireshark怎么抓包?

1.我们首先打开电脑上的wireshark。

2.点击抓取网络接口卡选择按钮，选择需要抓取的网卡接口。

3.点击途中的配置操作按钮，进入到抓包配置操作界面，进行相应配置。配置完成后点击start开始抓包。

4.开始抓包后，可以看到各通过该网络接口的数据报文被抓取到。

5.如果没有抓取到想要的数据包，则点击重新抓取按钮即可;或者抓取到个人需要的数据包之后，可以点击红色的停止按钮即可。

-1998年10月，来自networkappliance公司的guyharris在寻找一套比tcpview（另外一套网络封包撷取程式）更好的软件。于是他也开始参与ethereal的开发工作。1998年底，一位在教授tcp/ip课程的讲师richardsharpe，看到了这套软件的发展潜力，而后开始参与开发与加入新协定的功能。在当时，新的通讯协定的制定并不复杂，因此他开始在ethereal上新增的封包撷取功能，几乎包含了当时所有通讯协定。 

-自此之后，数以千计的人开始参与ethereal的开发，多半是因为希望能让ethereal撷取特定的，尚未包含在ethereal默认的网络协定的封包而参予新的开发。

2006年6月，因为商标的问题，ethereal更名为wireshark。

wireshark过滤规则及使用方法

过滤源ip、目的ip:

在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包，ip.dst==192.168.101.8；查找源地址为ip.src==1.1.1.1；

端口过滤:

如过滤80端口，在Filter中输入，tcp.port==80，这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的，tcp.srcport==80只过滤源端口为80的包；

协议过滤:

直接在Filter框中直接输入协议名即可，如过滤HTTP的协议；

http模式过滤:

如过滤get包，http.request.method=="GET",过滤post包，http.request.method=="POST"；

连接符and的使用。

过滤两种条件时，使用and连接，如过滤ip为192.168.101.8并且为http协议的，ip.src==192.168.101.8 and http。

wireshark抓包及分析?

Wireshakr抓包界面

说明：数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules。如下所示

WireShark 主要分为这几个界面

1. Display Filter(显示过滤器)，  用于设置过滤条件进行数据包列表过滤。菜单路径：Analyze --> Display Filters。

2. Packet List Pane(数据包列表)， 显示捕获到的数据包，每个数据包包含编号，时间戳，源地址，目标地址，协议，长度，以及数据包信息。 不同协议的数据包使用了不同的颜色区分显示。

3. Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包，在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的，用来查看协议中的每一个字段。各行信息分别为

（1）Frame:   物理层的数据帧概况

（2）Ethernet II: 数据链路层以太网帧头部信息

（3）Internet Protocol Version 4: 互联网层IP包头部信息

（4）Transmission Control Protocol:  传输层T的数据段头部信息，此处是TCP

（5）Hypertext Transfer Protocol:  应用层的信息，此处是HTTP协议

TCP包的具体内容

 从下图可以看到wireshark捕获到的TCP包中的每个字段。

4. Dissector Pane(数据包字节区)。

Wireshark过滤器设置

 初学者使用wireshark时，将会得到大量的冗余数据包列表，以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器，学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

（1）抓包过滤器

    捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。

如何使用？可以在抓取数据包前设置如下。

ip host 60.207.246.216 and icmp表示只捕获主机IP为60.207.246.216的ICMP数据包。获取结果如下：

（2）显示过滤器

显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛，抓取的数据包内容较多时使用显示过滤器设置条件顾虑以方便分析。同样上述场景，在捕获时未设置捕获规则直接通过网卡进行抓取所有数据包，如下

执行ping www.downyi.com获取的数据包列表如下

观察上述获取的数据包列表，含有大量的无效数据。这时可以通过设置显示器过滤条件进行提取分析信息。ip.addr == 211.162.2.183 and icmp。并进行过滤。

上述介绍了抓包过滤器和显示过滤器的基本使用方法。在组网不复杂或者流量不大情况下，使用显示器过滤器进行抓包后处理就可以满足我们使用。

特色：

-wireshark中文版可以实时检测网络通讯数据，也可以检测其抓取的网络通讯数据快照文件。

-它可以通过图形界面浏览这些数据，可以查看网络通讯数据包中每一层的详细内容。

-网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。

-包含有强显示过滤器语言(rich display filter language)和查看tcp会话重构流的能力;

-它更支持上百种协议和媒体类型; 拥有一个类似tcpdump(一个linux下的网络协议分析工具)的名为tethereal的的命令行版本。