wireshark網(wǎng)絡(luò)抓包分析軟件

Wireshark是一款網(wǎng)絡(luò)協(xié)議抓包分析軟件，為用戶實時檢測網(wǎng)絡(luò)的通訊數(shù)據(jù)，同時支持抓取數(shù)據(jù)快照的功能，并盡可能顯示出最為詳細的網(wǎng)絡(luò)封包資料。
軟件使用WinPCAP作為接口，直接與網(wǎng)卡進行數(shù)據(jù)報文交換。在GNUGPL通用許可證的保障范圍底下，使用者可以以免費的代價取得軟件與其源代碼，并擁有針對其源代碼修改及客制化的權(quán)利，是全世界最廣泛的網(wǎng)絡(luò)封包分析軟件之一。

Wireshark軟件特色

1.在接口實時捕捉包

2.支持UNIX和Windows平臺

3.可以打開/保存捕捉的包

4.能詳細顯示包的詳細協(xié)議信息

5.可以通過多種方式過濾包

6.可以導(dǎo)入導(dǎo)出其他捕捉程序支持的包數(shù)據(jù)格式

7.多種方式查找包

8.通過過濾以多種色彩顯示包

9.創(chuàng)建多種統(tǒng)計分析

安裝步驟

1、下載解壓后，雙擊運行安裝包

2、閱讀軟件協(xié)議，同意協(xié)議即可，點擊next按鈕：

3、選擇安裝組件，默認勾選即可，點擊next：

4、選擇附加任務(wù)，默認勾選即可，點擊next:

5、按照提示點擊下一步即可，直至如下界面，可以點擊【browse】來定義軟件的安裝位置。默認安裝在c盤，建議您單擊browse按鈕自定義安裝路徑：

6、準備安裝，點擊intall：

7、點擊install開始安裝，該軟件安裝可能需要幾分鐘，請耐心等待。

8、安裝完畢會有提示，點擊【finish】即可使用軟件啦。

使用教程

說明：數(shù)據(jù)包列表區(qū)中不同的協(xié)議使用了不同的顏色區(qū)分。協(xié)議顏色標識定位在菜單欄View --> Coloring Rules。如下所示

WireShark 主要分為這幾個界面

1. Display Filter(顯示過濾器)，  用于設(shè)置過濾條件進行數(shù)據(jù)包列表過濾。菜單路徑：Analyze --> Display Filters。

2. Packet List Pane(數(shù)據(jù)包列表)， 顯示捕獲到的數(shù)據(jù)包，每個數(shù)據(jù)包包含編號，時間戳，源地址，目標地址，協(xié)議，長度，以及數(shù)據(jù)包信息。 不同協(xié)議的數(shù)據(jù)包使用了不同的顏色區(qū)分顯示。

3. Packet Details Pane(數(shù)據(jù)包詳細信息), 在數(shù)據(jù)包列表中選擇指定數(shù)據(jù)包，在數(shù)據(jù)包詳細信息中會顯示數(shù)據(jù)包的所有詳細信息內(nèi)容。數(shù)據(jù)包詳細信息面板是最重要的，用來查看協(xié)議中的每一個字段。各行信息分別為

（1）Frame:   物理層的數(shù)據(jù)幀概況

（2）Ethernet II: 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息

（3）Internet Protocol Version 4: 互聯(lián)網(wǎng)層IP包頭部信息

（4）Transmission Control Protocol:  傳輸層T的數(shù)據(jù)段頭部信息，此處是TCP

（5）Hypertext Transfer Protocol:  應(yīng)用層的信息，此處是HTTP協(xié)議

TCP包的具體內(nèi)容

從下圖可以看到wireshark捕獲到的TCP包中的每個字段。

4. Dissector Pane(數(shù)據(jù)包字節(jié)區(qū))。

Wireshark過濾器設(shè)置

初學(xué)者使用wireshark時，將會得到大量的冗余數(shù)據(jù)包列表，以至于很難找到自己自己抓取的數(shù)據(jù)包部分。wireshar工具中自帶了兩種類型的過濾器，學(xué)會使用這兩種過濾器會幫助我們在大量的數(shù)據(jù)中迅速找到我們需要的信息。

（1）抓包過濾器

捕獲過濾器的菜單欄路徑為Capture --> Capture Filters。用于在抓取數(shù)據(jù)包前設(shè)置。

如何使用？可以在抓取數(shù)據(jù)包前設(shè)置如下。

ip host 60.207.246.216 and icmp表示只捕獲主機IP為60.207.246.216的ICMP數(shù)據(jù)包。獲取結(jié)果如下：

（2）顯示過濾器

顯示過濾器是用于在抓取數(shù)據(jù)包后設(shè)置過濾條件進行過濾數(shù)據(jù)包。通常是在抓取數(shù)據(jù)包時設(shè)置條件相對寬泛，抓取的數(shù)據(jù)包內(nèi)容較多時使用顯示過濾器設(shè)置條件顧慮以方便分析。同樣上述場景，在捕獲時未設(shè)置捕獲規(guī)則直接通過網(wǎng)卡進行抓取所有數(shù)據(jù)包，如下

執(zhí)行ping www.huawei.com獲取的數(shù)據(jù)包列表如下

觀察上述獲取的數(shù)據(jù)包列表，含有大量的無效數(shù)據(jù)。這時可以通過設(shè)置顯示器過濾條件進行提取分析信息。ip.addr == 211.162.2.183 and icmp。并進行過濾。

上述介紹了抓包過濾器和顯示過濾器的基本使用方法。在組網(wǎng)不復(fù)雜或者流量不大情況下，使用顯示器過濾器進行抓包后處理就可以滿足我們使用。下面介紹一下兩者間的語法以及它們的區(qū)別。