網(wǎng)絡(luò)抓包工具wireshark是一款非常專業(yè)的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控軟件，可以幫助用戶更好的進(jìn)行網(wǎng)絡(luò)調(diào)試，強(qiáng)大的抓包功能，讓你更好的分享網(wǎng)絡(luò)數(shù)據(jù)傳輸，各種解釋器，過濾器功能，讓你抓到你想要的數(shù)據(jù)包，更多精彩內(nèi)容盡在當(dāng)易網(wǎng)！

wireshark中文版介紹

-1997年底，geraldcombs需要一個(gè)能夠追蹤網(wǎng)絡(luò)流量的工具軟件作為其工作上的輔助。因此他開始撰寫ethereal軟件。ethereal在經(jīng)過幾次中斷開發(fā)的事件過后，終于在1998年7月釋出其第一個(gè)版本v0.2.0。自此之后，combs收到了來自全世界的修補(bǔ)程式、錯(cuò)誤回報(bào)與鼓勵(lì)信件。ethereal的發(fā)展就此開始。不久之后，gilbertramirez看到了這套軟件的開發(fā)潛力并開始參予低階程式的開發(fā)。

wireshark使用教程

wireshark怎么抓包?

1.我們首先打開電腦上的wireshark。

2.點(diǎn)擊抓取網(wǎng)絡(luò)接口卡選擇按鈕，選擇需要抓取的網(wǎng)卡接口。

3.點(diǎn)擊途中的配置操作按鈕，進(jìn)入到抓包配置操作界面，進(jìn)行相應(yīng)配置。配置完成后點(diǎn)擊start開始抓包。

4.開始抓包后，可以看到各通過該網(wǎng)絡(luò)接口的數(shù)據(jù)報(bào)文被抓取到。

5.如果沒有抓取到想要的數(shù)據(jù)包，則點(diǎn)擊重新抓取按鈕即可;或者抓取到個(gè)人需要的數(shù)據(jù)包之后，可以點(diǎn)擊紅色的停止按鈕即可。

-1998年10月，來自networkappliance公司的guyharris在尋找一套比tcpview（另外一套網(wǎng)絡(luò)封包擷取程式）更好的軟件。于是他也開始參與ethereal的開發(fā)工作。1998年底，一位在教授tcp/ip課程的講師richardsharpe，看到了這套軟件的發(fā)展?jié)摿?，而后開始參與開發(fā)與加入新協(xié)定的功能。在當(dāng)時(shí)，新的通訊協(xié)定的制定并不復(fù)雜，因此他開始在ethereal上新增的封包擷取功能，幾乎包含了當(dāng)時(shí)所有通訊協(xié)定。 

-自此之后，數(shù)以千計(jì)的人開始參與ethereal的開發(fā)，多半是因?yàn)橄Ｍ茏宔thereal擷取特定的，尚未包含在ethereal默認(rèn)的網(wǎng)絡(luò)協(xié)定的封包而參予新的開發(fā)。

2006年6月，因?yàn)樯虡?biāo)的問題，ethereal更名為wireshark。

wireshark過濾規(guī)則及使用方法

過濾源ip、目的ip:

在wireshark的過濾規(guī)則框Filter中輸入過濾條件。如查找目的地址為192.168.101.8的包，ip.dst==192.168.101.8；查找源地址為ip.src==1.1.1.1；

端口過濾:

如過濾80端口，在Filter中輸入，tcp.port==80，這條規(guī)則是把源端口和目的端口為80的都過濾出來。使用tcp.dstport==80只過濾目的端口為80的，tcp.srcport==80只過濾源端口為80的包；

協(xié)議過濾:

直接在Filter框中直接輸入?yún)f(xié)議名即可，如過濾HTTP的協(xié)議；

http模式過濾:

如過濾get包，http.request.method=="GET",過濾post包，http.request.method=="POST"；

連接符and的使用。

過濾兩種條件時(shí)，使用and連接，如過濾ip為192.168.101.8并且為http協(xié)議的，ip.src==192.168.101.8 and http。

wireshark抓包及分析?

Wireshakr抓包界面

說明：數(shù)據(jù)包列表區(qū)中不同的協(xié)議使用了不同的顏色區(qū)分。協(xié)議顏色標(biāo)識(shí)定位在菜單欄View --> Coloring Rules。如下所示

WireShark 主要分為這幾個(gè)界面

1. Display Filter(顯示過濾器)，  用于設(shè)置過濾條件進(jìn)行數(shù)據(jù)包列表過濾。菜單路徑：Analyze --> Display Filters。

2. Packet List Pane(數(shù)據(jù)包列表)， 顯示捕獲到的數(shù)據(jù)包，每個(gè)數(shù)據(jù)包包含編號(hào)，時(shí)間戳，源地址，目標(biāo)地址，協(xié)議，長(zhǎng)度，以及數(shù)據(jù)包信息。 不同協(xié)議的數(shù)據(jù)包使用了不同的顏色區(qū)分顯示。

3. Packet Details Pane(數(shù)據(jù)包詳細(xì)信息), 在數(shù)據(jù)包列表中選擇指定數(shù)據(jù)包，在數(shù)據(jù)包詳細(xì)信息中會(huì)顯示數(shù)據(jù)包的所有詳細(xì)信息內(nèi)容。數(shù)據(jù)包詳細(xì)信息面板是最重要的，用來查看協(xié)議中的每一個(gè)字段。各行信息分別為

（1）Frame:   物理層的數(shù)據(jù)幀概況

（2）Ethernet II: 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息

（3）Internet Protocol Version 4: 互聯(lián)網(wǎng)層IP包頭部信息

（4）Transmission Control Protocol:  傳輸層T的數(shù)據(jù)段頭部信息，此處是TCP

（5）Hypertext Transfer Protocol:  應(yīng)用層的信息，此處是HTTP協(xié)議

TCP包的具體內(nèi)容

 從下圖可以看到wireshark捕獲到的TCP包中的每個(gè)字段。

4. Dissector Pane(數(shù)據(jù)包字節(jié)區(qū))。

Wireshark過濾器設(shè)置

 初學(xué)者使用wireshark時(shí)，將會(huì)得到大量的冗余數(shù)據(jù)包列表，以至于很難找到自己自己抓取的數(shù)據(jù)包部分。wireshar工具中自帶了兩種類型的過濾器，學(xué)會(huì)使用這兩種過濾器會(huì)幫助我們?cè)诖罅康臄?shù)據(jù)中迅速找到我們需要的信息。

（1）抓包過濾器

    捕獲過濾器的菜單欄路徑為Capture --> Capture Filters。用于在抓取數(shù)據(jù)包前設(shè)置。

如何使用？可以在抓取數(shù)據(jù)包前設(shè)置如下。

ip host 60.207.246.216 and icmp表示只捕獲主機(jī)IP為60.207.246.216的ICMP數(shù)據(jù)包。獲取結(jié)果如下：

（2）顯示過濾器

顯示過濾器是用于在抓取數(shù)據(jù)包后設(shè)置過濾條件進(jìn)行過濾數(shù)據(jù)包。通常是在抓取數(shù)據(jù)包時(shí)設(shè)置條件相對(duì)寬泛，抓取的數(shù)據(jù)包內(nèi)容較多時(shí)使用顯示過濾器設(shè)置條件顧慮以方便分析。同樣上述場(chǎng)景，在捕獲時(shí)未設(shè)置捕獲規(guī)則直接通過網(wǎng)卡進(jìn)行抓取所有數(shù)據(jù)包，如下

執(zhí)行ping www.bluesunshine.cn獲取的數(shù)據(jù)包列表如下

觀察上述獲取的數(shù)據(jù)包列表，含有大量的無效數(shù)據(jù)。這時(shí)可以通過設(shè)置顯示器過濾條件進(jìn)行提取分析信息。ip.addr == 211.162.2.183 and icmp。并進(jìn)行過濾。

上述介紹了抓包過濾器和顯示過濾器的基本使用方法。在組網(wǎng)不復(fù)雜或者流量不大情況下，使用顯示器過濾器進(jìn)行抓包后處理就可以滿足我們使用。

特色：

-wireshark中文版可以實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)通訊數(shù)據(jù)，也可以檢測(cè)其抓取的網(wǎng)絡(luò)通訊數(shù)據(jù)快照文件。

-它可以通過圖形界面瀏覽這些數(shù)據(jù)，可以查看網(wǎng)絡(luò)通訊數(shù)據(jù)包中每一層的詳細(xì)內(nèi)容。

-網(wǎng)絡(luò)封包分析軟件的功能可想像成 "電工技師使用電表來量測(cè)電流、電壓、電阻" 的工作 - 只是將場(chǎng)景移植到網(wǎng)絡(luò)上，并將電線替換成網(wǎng)絡(luò)線。

-包含有強(qiáng)顯示過濾器語(yǔ)言(rich display filter language)和查看tcp會(huì)話重構(gòu)流的能力;

-它更支持上百種協(xié)議和媒體類型; 擁有一個(gè)類似tcpdump(一個(gè)linux下的網(wǎng)絡(luò)協(xié)議分析工具)的名為tethereal的的命令行版本。