Wireshark抓包软件的使用

Wireshark是一个强大的网络抓包分析软件，能够截获网卡获取 的数据包，并给出数据包最详细的网络封包资料。本文从使用的角度详解如何使用此软件进行数据包的抓取，如何进行数据包的分析等。以下通过图文进行解析说明，此软件直接可以从网站上下载安装（如下图），安装步骤根据提示也相当简单再此不在赘述。

                               

一、启动

步骤：

1.File下的图标或如下Capture->Inteerfaces：点击

2.选择网卡：

 

3.点击Start，开始抓包。

4.显示出了抓取的数据包。如下图1：

    注意：不过此时抓取的数据包为所有通过此网卡发送和接收到的数据包，字段分别为：开始抓包的时间、源地址（IP或MAC）、目的地址、协议、相关的描述信息

点击某一个数据包，下方将出现各个层次相关的头包和数据信息，如图2

 

                                                                                          图1

                                                                                          图2        

5.根据头包和数据的信息，可以进行各种分析工作。

如下为抓取的一个http协议包：

 

Frame:物理层数据帧概况。

Ethernet II:数据链路层以太网头部信息。

Internet Protocol:网络层协议头部信息。

User datagram Protocol:传输层协议，此处为udp协议。

Hypertext transfer Protocol:应用层协议，此处为http协议。

二、过滤数据包

       Wireshark抓包软件有强大的过滤功能，能够过滤我们想要的数据包。

在”filter:  “输入窗口可以输入过滤的条件。

1.简单的协议过滤

在过滤窗口直接输入协议的名称：如：filter:  tcp ----->过滤使用tcp的所有数据包

2.二层报文的过滤

 即是数据链路层的数据包的过滤，在过滤窗口直接输入：格式：”eth.addr == MAC地址” （或：eth.src/dst == MAC地址） 如：eth.addr ==54：ee:75:95:19:ab (eth:表示以太网  ==:表示匹配, addr:表示地址 ，src:表示源地址，dst:目的地址)

 

3.三层报文的过滤

 即是网络层的数据包的过滤，在过滤窗口直接输入：格式：”ip.addr == IP地址” （或：eth.src/dst == IP地址） eg:ip.addr == 192.168.0.104

 

4.四层报文的过滤

即是传输层的数据包的过滤，在过滤窗口直接输入：格式：”传输层协议.port == IP地址” （或：传输层协议.srcport/dstport == IP地址） eg:tcp.port == 80(tttp的端口号)

 

三、复杂的数据包的过滤

     Wireshark抓包软件提供了强大的逻辑表达式的过滤功能：如：前后都进行匹配、与、或、非运算

eg:arp or http ---->抓取arp或http协议的数据包

   Ip.addr == 192.168.0.104 and tcp ---->抓取此IP地址使用tcp协议的数据包

   not ip ---->除ip以外的所有协议

   组合：ip.src == 192.168.0.104 and ip.dst == 192.168.0.54 and tcp --->前后都匹配

 

四、数据包的保存

   捕获完制定的数据包后，点击停止捕获按钮，点击File--->save---->选择保存的路径和文件名后---->在Packet Range中勾选dispayed  表明保存的是过滤后的数据包的抓包信息。

 

 

五、实例

       运行客户端和服务器程序：客户端发来“helloworld”信息，服务器端接收到信息，并打印出数据信息和网络信息如下：

服务器的IP:192.168.0.104   port:8888

客户端的IP:192.168.0.105   port:59891

 

通过Wireshark抓包软件过滤抓包后，如下：

 

和实际的原始数据和网络信息完全相同，即是捕获了特定的数据包。

        当然，Wireshark的功能远不止这些，但是本文的操作可以基本上完成了数据包的抓取、分析等功能，对于网络协议包头的分析还是很有帮助的，若有其他更加强大的抓包功能望大家给予意见待后续补充完善。