Wireshark应用笔记（一）：简介和应用

1、Wireshark简介

Wireshark（前称Ethereal）是一个网络封包分析软件，使用WinPCAP作为接口，直接与网卡进行数据报文交换，可以抓取网络封包并显示详细的信息。Wireshark通常可被用来检测网络问题，检查资讯安全，或者为通讯协议排除错误。

通过仔细分析Wireshark抓取的封包，能够对网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯，其本身也不会送出封包至网络上。

2、抓包流程

Wireshark抓取网络封包的主要流程如下：

（1）确定Wireshark的位置。如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。

（2）选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。

（3）使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。

（4）使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。

（5）使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。

（6）构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。

（7）重组数据。Wireshark的重组功能，可以重组一个会话中不同数据包的信息，或者是一个重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数据包中。为了能够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。

3、简单应用

图1

图1中左起第1和第2个按钮用于设置抓包选项，第3个为开始抓包，第4个为停止抓包，第5个为重新抓包。

         “Filter”栏中可以填写抓包规则，可用于过滤掉不需要的网络封包，语法规则类似大多数编程语言的“if”语句。如“(ip.dst==192.168.106.163||ip.src==192.168.106.163)&&sip”，代表只抓取IP为192.168.106.163的端口发出和接收的SIP协议的网络封包。

 

图2

图3

图2和图3展示了抓包结果，双击图2 的一条抓包结果即可查看如图3中的详细信息。

图4

不同颜色的抓包结果代表了不同类型的网络封包，可通过点击工具栏中图4的按钮查看和设置颜色规则。

         抓取的网络封包可保存为本地文件，能用Wireshark直接打开进行分析。