Wireshark的抓包及过滤规则实验

抓包软件Wireshark常⽤过滤使⽤⽅法命令抓包软件Wireshark常⽤过滤使⽤⽅法命令过滤源ip、⽬的ip。

在wireshark的过滤规则框Filter中输⼊过滤条件。

如查找⽬的地址为192.168.101.8的包，ip.dst192.168.101.8；查找源地址为ip.src1.1.1.1端⼝过滤。

如过滤80端⼝，在Filter中输⼊，tcp.port80，这条规则是把源端⼝和⽬的端⼝为80的都过滤出来。

使⽤tcp.dstport80只过滤⽬的端⼝为80的，tcp.srcport==80只过滤源端⼝为80的包协议过滤⽐较简单，直接在Filter框中直接输⼊协议名即可，如过滤HTTP的协议http模式过滤。

如过滤get包，http.request.method"GET",过滤post包，http.request.method"POST"连接符and的使⽤。

过滤两种条件时，使⽤and连接，如过滤ip为192.168.101.8并且为http协议的，ip.src==192.168.101.8 and http。

⼯作中，⼀些使⽤⽅式调整时间格式然后再排序下。

根据时间字段根据端⼝过滤服务端端⼝是7018，和客户端建⽴socket连接，根据服务端的端⼝找到2者通信的所有socket数据（客户端进⼊房间后会异常断开，判断是客户端导致的还是服务端导致的）tcp.port==7018，最后的RST报⽂是服务端发起的，说明是服务端主动断开的，缩⼩问题范围仅从抓包信息看是服务器的⼀个流量控制机制启动了。

服务器发回rst位，同时win置为0，是告诉客户端不要发包。

按tcp流控机制来说，此时客户端应该停⽌发包，直⾄服务器发送信息告诉客户端可以继续发送。

TCP连接:SYN ACK RST UTG PSH FIN三次握⼿：发送端发送⼀个SYN=1，ACK=0标志的数据包给接收端，请求进⾏连接，这是第⼀次握⼿；接收端收到请求并且允许连接的话，就会发送⼀个SYN=1，ACK=1标志的数据包给发送端，告诉它，可以通讯了，并且让发送端发送⼀个确认数据包，这是第⼆次握⼿；最后，发送端发送⼀个SYN=0，ACK=1的数据包给接收端，告诉它连接已被确认，这就是第三次握⼿。

计算机与信息科学学院实验报告（2012—2013学年第一学期）课程名称：网络安全实验班级：学号：姓名：任课教师：计算机与信息科学学院实验报告（二）、实验步骤：1、安装Wireshark（1）双击文件夹中的可执行文件，如图1所示。

图1 Wireshark的可执行文件(2)该对话框时一个安装提示，如果之前没有安装过该文件，则点击下一步，如图2所示。

图2 确认对话框（3）图3所示是一个关于该软件的许可证说明，可以忽略，点击下一步。

图3 Wireshark的许可说明（4）在图4中罗列出来的是一些可选安装组件，可根据实际需要选择安装图4 选择安装组件（5）以下是关于该软件的图标创建位置和支持的文件拓展，图标部分可根据实际情况选择，然后点击下一步，如图5所示。

图5 快捷方式（6）程序的安装位置，这里选择默认，点击下一步。

图6 程序安装位置（7）安装WinPcap插件，在这一步必须勾选安装，不然无法进行以下的实验。

图7 勾选WinPcap插件（8）下面开始进入WinPcaP插件的安装过程，点击下一步，如图8所示。

图8 安装WinPcaP（9）这一步是对WincaP插件的介绍，可以不用理会，继续下一步。

图9 WinPcaP介绍（10）WinPcaP的许可协议，点击“I Agren”，如图10所示。

图10 许可协议（10）在系统引导时自动启动该插件，默认选择，点击“Install”，如图11所示。

图11 WinPcaP的自动启动（11）经过了那么多步，终于到尽头了。

直接点“Finish”，结束WinPcaP的安装。

图12 WinPcaP安装结束（12）插件安装完了，点击下一步，如图13所示。

图13 Wireshark安装结束（13）Wireshark安装的最后一步，勾选“Run Wireshark……”，点击“Finish”图14 Wireshark成功安装2、Wireshark的基本操作（1）在ip为192.168.0.4的虚拟主机上双击安装好的Wireshark可执行文件“Wireshake.exe”，弹出Wireshark操作界面。

wireshark怎么抓包、wireshark抓包详细图文教程wireshark是非常流行的网络封包分析软件，功能十分强大。

可以截取各种网络封包，显示网络封包的详细信息。

使用wireshark的人必须了解网络协议，否则就看不懂wireshark了.为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包.wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容,总结，如果是处理HTTP,HTTPS 还是用Fiddler，其他协议比如TCP,UDP 就用wireshark.wireshark 开始抓包开始界面wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候,你需要选择一个网卡。

点击Caputre->Interfaces。

. 出现下面对话框,选择正确的网卡。

然后点击”Start"按钮, 开始抓包Wireshark 窗口介绍WireShark 主要分为这几个界面1。

Display Filter（显示过滤器），用于过滤2。

Packet List Pane(封包列表），显示捕获到的封包，有源地址和目标地址，端口号. 颜色不同，代表3。

Packet Details Pane(封包详细信息），显示封包中的字段4. Dissector Pane（16进制数据）5. Miscellanous(地址栏,杂项）使用过滤是非常重要的，初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中,以至于很难找到自己需要的部分。

搞得晕头转向。

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种，一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。

在Capture -〉 Capture Filters 中设置保存过滤在Filter栏上，填好Filter的表达式后，点击Save按钮，取个名字。

在分析网络数据和判断网络故障问题中，都离不开网络协议分析软件（或叫网络嗅探器、抓包软件等等）这个“利器”，通过网络协议分析软件我们可以捕获网络中正常传输哪些数据包，通过分析这些数据包，我们就可以准确地判断网络故障环节出在哪。

网络协议分析软件众多，比如ethereal（wireshark 的前身),wireshark,omnipeek,sniffer,科来网络分析仪（被誉为国产版sniffer，符合我们的使用习惯）等等，本人水平有限，都是初步玩玩而已，先谈谈个人对这几款软件使用感受，wireshark（ethereal）在对数据包的解码上，可以说是相当的专业，能够深入到协议的细节上，用它们来对数据包深入分析相当不错，更重要的是它们还是免费得，但是用wireshark（ethereal）来分析大量数据包并在大量数据包中快速判断问题所在，比较费时间，不能直观的反应出来，而且操作较为复杂。

像omnipeek,sniffer,科来网络分析仪这些软件是专业级网络分析软件，不仅仅能解码（不过有些解码还是没有wireshark专业），还能直观形象的反应出数据情况，这些软件会对数据包进行统计，并生成各种各样的报表日志，便于我们查看和分析，能直观的看到问题所在，但这类软件是收费，如果想感受这类专业级的软件，我推荐玩科来网络分析仪技术交流版，免费注册激活，但是只能对50个点进行分析。

废话不多说，下面介绍几个wireshark使用小技巧，说的不好，还请各位多指点批评。

目前wireshark最新版本是1.7的，先简单对比下wireshark的1.6和1.7版本。

下面是wireshark的1.6版本的界面图：（看不清图，请点击放大）点击图中那个按钮，进入抓包网卡选择，然后点击option进入抓包条件设置，就会打开如下图的对话框如果想抓无线网卡的数据吧，就把图中那个勾去掉，不然会报错。

点击Capture Filter进入过滤抓包设置（也可以在这个按钮旁边，那个白色框直接写过滤语法，语法不完成或无法错误，会变成粉红色的框，正确完整的会变成浅绿色），Filter name是过滤条件命名，Filter string 是过滤的语法定义，设置好了，点击new会把你设置好的加入到过滤条件区域，下次要用的时候，直接选者你定义这个过滤条件名。

计算机网络实验报告年级：姓名：学号：___________实验日期:_________________________实验名称：实验二：利用Wireshark分析ARP协议一、实验项目名称及实验项目编号ARP协议学习与分析二、课程名称及课程编号计算机网络三、实验目的和要求实验目的：通过本实验使学生：1．学习ARP协议的工作原理以及ARP分组格式；2．学习使用WireShark对ARP协议进行分析。

实验要求：实验结果分析报告名称：实验一 ARP协议实验结果分析_姓名.doc四、实验原理Wireshark介绍Wireshark 是网络包分析工具。

网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark 是最好的开源网络分析软件。

Wireshark的主要应用如下：（1）网络管理员用来解决网络问题（2）网络安全工程师用来检测安全隐患（3）开发人员用来测试协议执行情况（4）用来学习网络协议（5）除了上面提到的，Wireshark还可以用在其它许多场合。

Wireshark的主要特性（1）支持UNIX和Windows平台（2）在接口实时捕捉包（3）能详细显示包的详细协议信息（4）可以打开/保存捕捉的包（5）可以导入导出其他捕捉程序支持的包数据格式（6）可以通过多种方式过滤包（7）多种方式查找包（8）通过过滤以多种色彩显示包（9）创建多种统计分析五、实验内容1．了解数据包分析软件Wireshark的基本情况；2．安装数据包分析软件Wireshark；3．配置分析软件Wireshark；4．对本机网卡抓数据包；5．分析各种数据包。

六、实验方法及步骤1．Wireshark的安装及界面（1）Wireshark的安装（2）Wireshark的界面启动Wireshark之后，主界面如图：主菜单项：主菜单包括以下几个项目:File包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。

电⼦科⼤⽹络安全实验2Wireshark抓包分析实验完整分析实验2 Wireshark抓包分析实验⼀、实验原理TCP三次握⼿准则介绍TCP是因特⽹中的传输层协议，使⽤三次握⼿协议建⽴连接。

当主动⽅发出SYN连接请求后，等待对⽅回答SYN，ACK。

这种建⽴连接的⽅法可以防⽌产⽣错误的连接，TCP使⽤的流量控制协议是可变⼤⼩的滑动窗⼝协议。

第⼀次握⼿：建⽴连接时，客户端发送SYN包(SEQ=x)到服务器，并进⼊SYN_SEND状态，等待服务器确认。

第⼆次握⼿：服务器收到SYN包，必须确认客户的SYN(ACK=x+1),同时⾃⼰也送⼀个SYN包(SEQ=y),即SYN+ACK包，此时服务器进⼊SYN_RECV状态。

第三次握⼿：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ACK=y+1),此包发送完毕，客户端和服务器进⼊Established状态，完成三次握⼿。

HTTP协议介绍HTTP协议⽤于在Internet上发送和接收消息。

HTTP协议是⼀种请求-应答式的协议 ——客户端发送⼀个请求，服务器返回该请求的应答，所有的请求与应答都是HTTP包。

HTTP协议使⽤可靠的TCP 连接，默认端⼝是80。

HTTP的第⼀个版本是HTTP/0.9，后来发展到了HTTP/1.0，现在最新的版本是HTTP/1.1。

HTTP/1.1由RFC 2616 定义。

⼆、实验⽬的1、了解并会初步使⽤Wireshark，能在所⽤电脑上进⾏抓包。

2、了解IP数据包格式，能应⽤该软件分析数据包格式。

3、了解HTTP请求中的三次握⼿准则，并能利⽤该软件对该过程进⾏简要分析。

三、实验内容（1）安装wireshark软件，并使⽤该软件捕获HTTP请求中的报⽂，分析该过程中TCP建⽴连接的握⼿过程以及报头各字段的含义，记录实验结果和数据。

（2）尝试利⽤wireshark软件捕获Ping请求中的报⽂，并分析报⽂中各字段的含义，记录实验结果和数据。

wireshark 组播过滤规则Wireshark是一款常用的网络数据包分析工具，它可以用来捕获、分析和展示网络数据包。

在网络中，组播(Multicast)是一种常用的数据传输方式，它可以将一个数据包同时发送给多个目标地址，而不必为每个目标地址单独发送数据包。

本文将介绍如何使用Wireshark 的过滤规则来捕获和分析组播数据包。

一、组播地址在IPv4网络中，组播地址是224.0.0.0至239.255.255.255之间的地址。

其中，224.0.0.0至224.0.0.255是本地组播地址，用于同一个网络中的主机之间通信；224.0.1.0至238.255.255.255是全局组播地址，用于跨越多个网络的主机之间通信。

在IPv6网络中，组播地址是ff00::/8，其中ff02::1是所有节点组播地址，ff02::2是所有路由器组播地址。

二、捕获组播数据包在Wireshark中，可以使用以下过滤规则来捕获组播数据包：1. 捕获本地组播数据包：ip.dst==224.0.0.0/242. 捕获全局组播数据包：ip.dst==224.0.1.0/243. 捕获所有组播数据包：ip.dst==224.0.0.0/4三、分析组播数据包在Wireshark中，可以使用以下功能来分析组播数据包：1. 分组视图(Grouping view)：将组播数据包按照IP地址或协议类型进行分组，便于查看。

2. 流视图(Stream view)：将组播数据包按照流的方式展示，便于查看流的传输情况。

3. 协议分析(Protocol analysis)：Wireshark可以对组播数据包进行协议分析，展示每个协议的详细信息。

4. 统计信息(Statistics)：Wireshark可以生成各种统计信息，如流量、协议使用情况等。

总结：本文介绍了如何使用Wireshark的过滤规则来捕获和分析组播数据包。

通过分组视图、流视图、协议分析和统计信息等功能，我们可以更深入地了解组播数据包的传输情况和协议使用情况，便于优化网络性能和故障排除。

简单wireshark过滤抓包与过滤查看下面是wireshark的版本的界面图：（看不清图，请点击放大），先点及左上角的capture图标，选择需要抓包的网卡点击option进入网卡抓包配置。

点击option进入抓包条件设置后，就会打开如下图的对话框点击capture filter可以调出抓包过滤器的具体设置，我们可以设置抓某个固定IP及端口（默认状态不过滤）。

Filter name是过滤条件命名，Filter string是过滤的语法定义，设置好了，点击new会把你设置好的加入到过滤条件区域，下次要用的时候，直接选者你定义这个过滤条件名。

常用的抓包过滤语法说明：host 192.168.1.1该语法只捕获IP头部中只要有192.168.1.1这个地址的数据，不管它是源IP地址还是目标IP地址。

tcp该语法只捕获所有是tcp的数据包tcp port 23该语法只捕获tcp端口号是23的数据包，不管源端口还是目标端口。

udp该语法只捕获所有是udp的数据包udp port 53该语法只捕获udp端口号是23的数据包，不管源端口还是目标端口。

port 68该语法只捕获端口为68的数据，不管是TCP还是UDP，不管该端口号是源端口，还是目标端口。

not tcp port 3389 该语法表示不抓取tcp端口为3389（RDP）的报文。

设置好过滤器后可以设置抓包停止条件，抓取报文的个数或者抓取报文的大小（不设置默认不限制，一般设置抓包文件在100M以下或者报文数量100000以下），设置好后开始抓包。

下面是演示图：抓包结束后可以将包保存发出。

保存好后可以用显示过滤语句简单的筛选报文输入查看语法后，回车，wireshark查找数据，看数据包的大小决定查找时间，我抓了个300多M的包，过滤查找想要的包花了3分钟。

正在查找包过滤查找出了自己想要的包了。