wireshark安装与抓包说明

Wireshark软件使⽤教程Wireshark软件使⽤教程Wireshark是⾮常流⾏的⽹络封包分析软件，可以截取各种⽹络数据包，并显⽰数据包详细信息。

常⽤于开发测试过程各种问题定位。

本⽂主要内容包括：1、Wireshark软件下载和安装以及Wireshark主界⾯介绍。

2、WireShark简单抓包⽰例。

通过该例⼦学会怎么抓包以及如何简单查看分析数据包内容。

3、Wireshark过滤器使⽤。

通过过滤器可以筛选出想要分析的内容。

包括按照协议过滤、端⼝和主机名过滤、数据包内容过滤。

Wireshark软件安装软件下载路径：。

按照系统版本选择下载，下载完成后，按照软件提⽰⼀路Next安装。

如果你是Win10系统，安装完成后，选择抓包但是不显⽰⽹卡，下载win10pcap兼容性安装包。

下载路径：Wireshark 开始抓包⽰例先介绍⼀个使⽤wireshark⼯具抓取ping命令操作的⽰例，让读者可以先上⼿操作感受⼀下抓包的具体过程。

1、打开wireshark 2.6.5，主界⾯如下：2、选择菜单栏上Capture -> Option，勾选WLAN⽹卡（这⾥需要根据各⾃电脑⽹卡使⽤情况选择，简单的办法可以看使⽤的IP对应的⽹卡）。

点击Start。

启动抓包。

3、wireshark启动后，wireshark处于抓包状态中。

4、执⾏需要抓包的操作，如ping 。

5、操作完成后相关数据包就抓取到了。

为避免其他⽆⽤的数据包影响分析，可以通过在过滤栏设置过滤条件进⾏数据包列表过滤，获取结果如下。

说明：ip.addr == 119.75.217.26 and icmp 表⽰只显⽰ICPM协议且源主机IP或者⽬的主机IP为119.75.217.26的数据包。

5、wireshark抓包完成，就这么简单。

关于wireshark过滤条件和如何查看数据包中的详细内容在后⾯介绍。

Wireshakr抓包界⾯说明：数据包列表区中不同的协议使⽤了不同的颜⾊区分。

Wireshark的抓包及过滤规则实验Wireshark是世界上最流行的网络分析工具。

这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。

与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。

Wireshark的优势：- 安装方便。

- 简单易用的界面。

- 提供丰富的功能。

Wireshark的原名是Ethereal，新名字是2006年起用的。

当时Ethereal的主要开发者决定离开他原来供职的公司，并继续开发这个软件。

但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个新名字也就应运而生了。

实验一抓ARP包一：安装并运行wireshark开始捕获数据包，如图所示点击第二行的start开始捕获数据包。

二：几分钟后就捕获到许多的数据包了，主界面如图所示：如上图所示，可看到很多捕获的数据。

第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是数据包的信息。

选中第一个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三部分。

上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据三：开始分析数据在下图中Filter后面的编辑框中输入：arp（注意是小写），然后回车或者点击“Apply”按钮截图（替换掉该图）现在只有ARP协议了，其他的协议数据包都被过滤掉了。

注意到中间部分的三行前面都有一个“+”，点击它，这一行就会被展开。

如下图所示：截图（替换掉该图）现在展开第一行。

看到的结果如下：截图（替换掉该图）在上图中我们看到这个帧的一些基本信息：帧的编号：帧的大小：帧被捕获的日期和时间：帧距离前一个帧的捕获时间差：帧距离第一个帧的捕获时间差：帧装载的协议：现在展开第二行：截图（替换掉该图）我们可以看到：目的地址（Destination）：源地址（Source）：帧中封装的协议类型：Trailer：是协议中填充的数据，为了保证帧最少有64字节。

实验二Wireshark安装和使用实验目的1.安装Wireshark网络协议分析软件；2.学习了解Wireshark软件功能；实验内容1.1Wireshark简介Wireshark（前称Ethereal）是最好的开源网络封包分析软件之一。

网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。

Wireshark使用WinPcap作为接口，直接与网卡进行数据报文交换。

1.Wireshark的主要应用1）网络管理员用来解决网络问题；2）网络安全工程师用来检测安全隐患；3）开发人员用来测试协议执行情况；4）网络初学者用来学习网络协议；5）除了上面提到的，Wireshark还可以用在其它许多场合。

2.Wireshark的主要特性1）支持UNIX和Windows平台；2）在接口实时捕捉包；3）能详细显示包的详细协议信息；4）可以打开/保存捕捉的包；5）可以导入/导出其他捕捉程序支持的包数据格式；6）可以通过多种方式过滤包；7）可以通过多种方式查找包；8）可以通过过滤以多种色彩显示包；9）创建多种统计分析。

1.2安装WiresharkWireshark软件可以通过官方网站（https:///download.html）进行下载，根据主机配置选择下载适合的版本，例如主机操作系统为windows 7 64位旗舰版，可以选择下载版本为Wireshark-win64-2.2.7.exe。

下载完成后，打开下载文件进行如下安装。

1）双击此下载的软件包，开始进行安装，该界面显示了Wireshark的基本信息，点击“Next”，如图2-1所示；图2-1欢迎界面2）该界面显示了使用Wireshark的许可证条款信息。

阅读许可证条款，如果同意接受此条款，点击“I Agree”，如图2-2所示：图2- 1许可协议对话框3）选择希望安装的Wireshark组件，这里接受默认选项即可，如图2-3所示；图2-3 选择组件对话框4）该界面用来设置创建快捷方式的位置和关联文件扩展名，如图2-4所示；图2-4 Select Additional Tasks对话框5）选择Wireshark安装路径，点击“Next”，如图2-5所示：图2-5 安装位置对话框6）该界面提示是否要安装WinPcap。

GNS3，VPCS，wireshark的安装与使用教程1.准备工作（1）若原来安装过Dynamips和wincap（旧版本）的请先卸载。

（2）在任意盘下建立文件夹LAB，在该文件夹下建立3个子文件夹project， temp， ios，文件夹名字可以根据个人喜好改变，但一定要为英文。

（3）将已有的IOS及PIX的BIN文件拷到ios文件夹下（在GNS30.7版本中，模拟时无法识别RAR的文件，RAR文件必须解压为BIN文件，然后加载，GNS30.6中可以识别）。

2.开始安装组件全部安装。

3.安装完成启动GNS3，进入初始界面，选择第一个进入配置界面（第2次以及以后登录，在“编辑——首选项”中可打开）设定：在语言处选择自己合适的语言，project为拓扑图所在处，image为IOS文件所在文件夹。

然后选择左边的第二个Dynamips ；Executable path为dynmpis-wxp.Exe 的路径，选择你所安装的文件夹即可Working director为GNS3工作时，产生的临时文件所在目录Enable sparse memory feature 勾上，可以节约内存。

配置好后，点击Test，进行测试测试成功，基本配置完成。

4.加载IOS（点击：“编辑——IOS和Hypervisors”）;进入IOS配置界面选择合适的IOS配置并保存（IOS先以放入对应的文件夹）配置好后，选择路由器运行路由器当路由器成功运行后，准备计算Idle值(GNS3完全模拟路由器的内核，相当于真实路由，所以会大量消耗CPU和内存，计算Idle的值，是为了减少CPU空转的时间，提高利用率）在计算时，注意选择带*号的值，此为最优值，（在有多个带*的值中，选择数值最小的）在没有出现带*值时，可以多计算几次。

Idle的值只用计算一次，GNS3会自动记忆5.配置启动路由器的方式（telnet协议是核心，其他使用的工具全部为外壳）选择General中第二项Preconfigurated terminal commands 为选择登陆时使用的命令模式，可以选择telnet ,也可以选择putty（GNS30.6中没有这个功能，也没有登陆方式的选择，0.6中默认的是telnet，并没putty)*********不管选择什么登陆模式，都要点击后面使用Use,不然无法生效选择telnet模式********** 此处注意，选择telnet模式时，显示的start telnet %h %p可能无法启动终端，此时，将命令修改成telnet %h %p 即可登入，再次加入%d 无法启动选择putty模式Telnet启动Putty启动画面********* 一般不建议使用telnet方式登入（前面提到了，真正使用的方式为telnet，一般用有壳的软件 putty或SecureCRT下面介绍SecureCRT和GNS3的连接方法在terminal command中，修改成图中显示的样子，D:\LAB\SecureCRT\SecureCRT.exe为这个软件所在路径 /T是SecureCRT下的一个命令SecureCRT启动模式下面介绍GNS3中默认的抓包工具Wireshark（ethereal高级版本,使用ethereal一样）的使用1、安装时组建全选Wincap不用安装了，前面安装GNS3时已经安装安装完成后，在GNS3中进行设置配置完成后，建立基本的拓扑图选择Capture，Wireshar启动注意观察，在标题栏显示的是R1_to_R2，在一开始，可以选择抓包的方向然后再路由器R1中PING R2显示成功再观察Wireshark发现没有变化这是Wireshark和GNS3总存在的一个问题，wireshark无法做到抓包同步显示，这时关掉wireshark，在重复刚才的步骤，start capture 即可看到新内容图中可见，存在ICMP的包，，即抓包成功。

linux wireshark使用方法# Linux Wireshark 使用方法Wireshark 是一个强大的网络协议分析工具，它在Linux 系统上得到广泛应用。

本文将介绍如何在 Linux 系统上安装和使用 Wireshark。

## 1. 安装 Wireshark在大多数常见的 Linux 发行版中，Wireshark 都可以通过包管理器进行安装。

以下是几个常见的发行版的安装命令：- Ubuntu/Debian：```sudo apt-get install wireshark```- Fedora/CentOS：```sudo dnf install wireshark```- Arch Linux：```sudo pacman -S wireshark```安装过程可能需要输入管理员密码，根据提示进行操作即可。

## 2. 配置 Wireshark 权限Wireshark 需要以 root 权限运行才能够监听网络接口。

为了避免直接使用 root用户运行 Wireshark，我们可以通过配置允许非特权用户捕获数据包的方法。

运行以下命令来配置：```sudo dpkg-reconfigure wireshark-common```在弹出的对话框中选择“是”，然后在下一个对话框中选择“确定”。

这将允许非特权用户进行数据包捕获。

## 3. 打开 Wireshark在命令行中运行以下命令来打开 Wireshark：```wireshark```Wireshark 将以图形界面的形式打开。

## 4. 选择网络接口在Wireshark 的界面中，可以看到一个网络接口列表。

选择要监听的网络接口，例如以太网或 Wi-Fi 接口。

点击该接口，然后点击“开始”按钮开始监控该接口上的网络流量。

## 5. 分析数据包一旦开始监控网络接口，Wireshark 将开始捕获数据包。

你将看到实时交换的网络流量。

你可以使用 Wireshark 的过滤器功能来仅显示感兴趣的数据包，以便更好地分析。

实验一Wireshark的安装与使用一、实验目的1、熟悉并掌握Wireshark的基本使用；2、了解网络协议实体间进行交互以及报文交换的情况。

二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、预备知识要深入理解网络协议，需要观察它们的工作过程并使用它们，即观察两个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动作，观察这些动作及其影响。

这种观察可以在仿真环境下或在因特网这样的真实网络环境中完成。

观察正在运行的协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer），又称分组捕获器。

顾名思义，分组嗅探器捕获（嗅探）你的计算机发送和接收的报文。

图显示了一个分组嗅探器的结构。

图分组嗅探器的结构图右边是计算机上正常运行的协议和应用程序（如：Web浏览器和FTP客户端）。

分组嗅探器（虚线框中的部分）主要有两部分组成：第一是分组捕获器，其功能是捕获计算机发送和接收的每一个链路层帧的拷贝；第二个组成部分是分组分析器，其作用是分析并显示协议报文所有字段的内容（它能识别目前使用的各种网络协议）。

Wireshark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组嗅探器，是一个开源免费软件，可以从下载。

运行Wireshark程序时，其图形用户界面如图所示。

最初，各窗口中并无数据显示。

Wireshark的界面主要有五个组成部分：命令和菜单协议筛选框捕获分组列表选定分组首部明细分组内容左：十六进制右：ASCII码图 Wireshark主界面命令菜单（command menus）：命令菜单位于窗口的最顶部，是标准的下拉式菜单。

协议筛选框（display filter specification）：在该处填写某种协议的名称，Wireshark据此对分组列表窗口中的分组进行过滤，只显示你需要的分组。

捕获分组列表（listing of captured packets）：按行显示已被捕获的分组内容，其中包括：分组序号、捕获时间、源地址和目的地址、协议类型、协议信息说明。

Wireshark使用文档V1.0版mymei@2013-5-30目录一Wireshark简单认识 (3)二Wireshark抓包流程 (3)1 选择抓取的接口 (3)2 设置捕捉过滤器 (4)3 数据包保存 (5)三Wireshark数据包查看 (6)1 数据包列表 (6)2 设置显示过滤器 (7)3 设置数据包颜色显示 (8)4 头域解析 (9)四Telephony分析 (10)1 V oIP Calls (10)2 RTP (11)3 SSL/TLS (12)五其他实用功能 (13)1 后台抓包 (13)2 merge包合并功能 (13)3 数据包查找功能及Go功能 (14)4 统计功能 (14)一Wireshark简单认识Wireshark是一个网络封包分析软件。

网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料, 仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。

二Wireshark抓包流程1 选择抓取的接口Wieshark的原理就是将经过PC特定网卡的数据包截获下来，那为什么我们能抓到话机的数据包呢，因为话机网卡和PC网卡都处于集线器HUB下，HUB是共享带宽的，所有数据都是广播形式进行发送，如果使用交换机就不行了。

点击Capture菜单，选择interface:现在的wireshark 可以同时抓取多张网卡的数据包，这个很有用哦，前提是先给自己多配张网卡。

2 设置捕捉过滤器捕捉过滤器就是设置一定的条件让wireshark 只抓取某些数据包，不符合条件的直接丢弃，语法：ProtocolDirectionHost(s)ValueLogical OperationsOther expressionProtocol （协议）:可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议，则默认使用所有支持的协议。

Wireshark使⽤与功能介绍fidder主要是针对http(s)协议进⾏抓包分析的，所以类似wireshark/tcpdump这种⼯作在tcp/ip层上的抓包⼯具不太⼀样，这种⼯具⼀般在chrome/firefox的开发者⼯具下都有集成。

安装wireshare会推荐安装winpcap,winpcap(windows packet capture)是windows平台下⼀个免费，公共的⽹络访问系统。

开发winpcap这个项⽬的⽬的在于为win32应⽤程序提供访问⽹络底层的能⼒.Wireshark介绍wireshark是⾮常流⾏的⽹络封包分析软件，功能⼗分强⼤。

可以截取各种⽹络封包，显⽰⽹络封包的详细信息。

wireshark是开源软件，可以放⼼使⽤。

可以运⾏在Windows和Mac OS上。

使⽤wireshark的⼈必须了解⽹络协议，否则就看不懂wireshark了。

Wireshark不能做的为了安全考虑，wireshark只能查看封包，⽽不能修改封包的内容，或者发送封包。

Wireshark VS FiddlerFiddler是在windows上运⾏的程序，专门⽤来捕获HTTP，HTTPS的。

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容总结，如果是处理HTTP,HTTPS 还是⽤Fiddler, 其他协议⽐如TCP,UDP 就⽤wireshark同类的其他⼯具微软的network monitorsniffer什么⼈会⽤到wireshark1. ⽹络管理员会使⽤wireshark来检查⽹络问题2. 软件测试⼯程师使⽤wireshark抓包，来分析⾃⼰测试的软件3. 从事socket编程的⼯程师会⽤wireshark来调试4. 听说，华为，中兴的⼤部分⼯程师都会⽤到wireshark。

总之跟⽹络相关的东西，都可能会⽤到wireshark.sniffer:1.安装sniffer后，运⾏时，找不到⽹卡，（sniffer在win 7下找不到⽹卡）解决⽅法：点击开始—找到sniffer的快捷⽅式—右键属性—把兼容模式改为“windows xp sp3”—确定—再次运⾏，就可以找到⽹卡了。

Wireshark抓包分析指南Wireshark抓包指南⽬录⼀.Wireshark⼯具介绍 (2)⼆.Wireshark安装 (2)三.wireshark⽹卡配置 (7)四.SIP协议分析 (8)1.SIP注册流程 (8)2.SIP呼叫流程 (9)3.DTMF分析 (10)4.RTP媒体分析 (11)⼀.Wireshark⼯具介绍Wireshark是⼀个⽹络数据库分析软件，功能⼗分强⼤。

可以截取各种⽹络封包，包括HTTP，TCP，UDP，SIP等⽹络协议，显⽰⽹络封包的详细信息。

⼆.Wireshark安装1.wireshark下载，下载地址：/doc/c1efd82b680203d8ce2f24af.html /download.html，根据⾃⼰笔记本系统选择合适的安装包2.安装步骤：a.双击wireshark安装包，点击nextb.License agreement信息，点击I Agress继续c.选择组件，默认安装所有组件，点击next继续d.创建快捷⽅式，关联⽂件类型，点击next继续e.选择wireshark的安装路径，点击next继续d.选择安装WinPcap，该插件⽤于监听⽹络的数据库，点击Install安装：e.Wincap 4.1.3安装，点击next继续：d.点击I Agree继续：e.选择Automatically start the WinPcap driver at boot time，点击Install 安装：f.点击finish启动wireshark。

三.wireshark⽹卡配置点击菜单“Capture”>”Interface”，选择所需要抓去信息的⽹卡：如果要抓取IAD的数据包，笔记本有线⽹卡和IAD的⽹卡都连接在HUB上，在笔记本上抓取有线⽹卡的数据包即可抓到IAD的所有的数据库包。

四.SIP协议分析1.SIP注册流程通过sip关键字来过滤sip包2.SIP呼叫流程可根据sip包头的Call-ID字段可以完整过滤出⼀个呼叫的流程：3.DTMF分析DTMF⽅式可分为三种：SIP Info、RFC2833和Tone。

wireshark抓包工具用法wireshark啊，这可是个超有趣又超有用的抓包小能手呢。

咱先说说这wireshark的界面吧。

打开它就像打开了一个装满各种网络小秘密的百宝盒。

界面上有好多栏，就像是一个个小格子，每个格子都有它的用处。

最上面那栏，就像是一个小导航，能让你找到各种功能按钮。

左边那一栏呢，像是个小目录，把抓到的包都整整齐齐地列在那儿。

而中间那一大块地方，就像是个大舞台，每个抓到的包都在这儿展示自己的详细信息。

抓包之前啊，得先选好要抓包的网络接口。

这就好比钓鱼之前得选好鱼竿要放的地方。

如果选错了接口，就像在没鱼的小水坑里钓鱼，啥也抓不到。

一般电脑上会有好几个网络接口，像有线网卡、无线网卡啥的。

要是你想抓无线的包，就得选那个无线网卡对应的接口。

怎么选呢？在wireshark的界面里仔细找一找，能看到一个像小齿轮旁边有好多小线条的图标，点进去就能看到那些接口啦，然后挑中你想要的那个就行。

开始抓包的时候啊，就像按下了一个魔法按钮。

一瞬间，各种包就像小虫子一样纷纷被捕捉到了。

你会看到左边的小目录里包的数量蹭蹭往上涨。

这时候可别急，每个包都像是一个带着小秘密的小包裹。

你要是想看看某个包里面到底装了啥，就点一下它。

然后中间的大舞台就会把这个包的详细信息都展示出来。

比如说，有这个包的源地址、目的地址，就像是写信的时候的寄信人和收信人地址一样。

还有这个包的协议类型，是TCP 呢还是UDP，这就好比是信件是用挂号信的方式寄的（TCP比较可靠），还是像明信片一样随便寄寄（UDP速度快但不太可靠）。

要是你想找特定类型的包，这也不难。

wireshark有个很厉害的小功能，就像一个小筛子一样。

比如说你只想看HTTP协议的包，因为你想知道网页之间是怎么传递信息的。

那你就可以在上面的搜索栏里输入“HTTP”，然后神奇的事情就发生了，那些不是HTTP协议的包就像小沙子一样被筛掉了，只剩下HTTP协议的包展现在你眼前。