wireshark的简单使用

windows中依赖winPcap，WinPcap是windows的libpacp库，它包含抓包的驱动，

安装wireshark

在windows中安装wireshark比较简单，暂时不做介绍。

开始抓包

抓包过滤规则

语法：

<Protocol name><Direction><host><value><logical operations><expressions><Protocol name><Direction><host><value> 作为一组，是一个表达式<logical operations> 逻辑操作符<expressions> 表达式

protocol： ether，fddi，ip，arp，rarp，decnet，lat等
direction：src,dst,src and dst, src or dst (default)
hosts：net,port,host,protrange.默认是host，如：src 192.168.1.2 等价于 src host 192.168.1.2
logical：not,and,or

例子：
1.tcp src port 443 ，只抓取来源端口443的tcp数据包
2.not arp 不获取arp数据
3.port 90 获取端口是80的数据包
4.src 192.168.1.21 and port 233 的数据

显示过滤

语法：

<protocol>.<string1>.<string2>.<comparison operator><value><logical operators><expressions>

实例：

1. tcp.port==80展示端口是80的tcp数据
2. ！arp 不展示ARP协议的数据
3. ip.addr==192.168.1.111 只展示地址为192.168.1.111的数据
4. （ip.dst == 192.168.2.2）&&（ip.dst==192.168.2.4）

图形化快速构建表达式

apply（prepare）as filter

可以快速选择ip.dst作为过滤的表达式，apply和prepare的区别：apply是选择立刻生效，prepare是先构建规则，让后点击apply才能生效。

expression 选择规则

使用系统提供的规则或者手动创建规则

保存、删除规则

• 保存现在的过滤规则

  

  

• 删除规则：

  

  

设置显示的列表

增加新的列

包分析时右键菜单的作用

包列表中右键菜单的作用

Mark Package（toggle） 打标记

打标记之后即使将该包的颜色变化，做明显区分

Ignore Package（toggle） 数据包不做分析

set time reference（toggle）设置指定的包的时间为参考时间

time shift 设置时间的偏移量（真实时间）

time列的设置：

time shift的设置：

Package comment（包的注释）

manually resolve address（手动将IP地址解析）

conversion filter（过滤会话）

通过IP或者是tcp过滤会话

colorize conversation （将会话用颜色标记）

显示结果

copy 复制做为过滤器

decode设置是否解译

包的详细列表中右键菜单

expand substree （展开）

collapse substree（合起）

apply as column (选择作为包列表的列)

设置前：

设置后：

Apply as Filter(选择过滤的条件)

通过网络层、传输层等的参数设置过滤规则

二进制包列表中右键菜单

只有二进制或者十六进制查看

统计分析

summary（概要）

show address resolution（显示对应域名的解析）

protocol herarchy（显示不同层数据包的百分比）

conversions （显示会话的数量）

实例

查看SNAT包的信息

通过ip.id 的值来判断是否为同一个包

后端的服务器：

在NAT的服务器上的数据包

在目标服务器上抓包

参考链接：

wireshark指导手册