【小技巧】wireshark定位抓包与定位查看

Wireshark图解教程（简介、抓包、过滤器）配置Wireshark是世界上最流行的网络分析工具。

这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。

与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。

可破解局域网内QQ、邮箱、msn、账号等的密码！！Wireshark是世界上最流行的网络分析工具。

这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。

与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。

可破解局域网内QQ、邮箱、msn、账号等的密码！！wireshark的原名是Ethereal，新名字是2006年起用的。

当时Ethereal的主要开发者决定离开他原来供职的公司，并继续开发这个软件。

但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个新名字也就应运而生了。

在成功运行Wireshark之后，我们就可以进入下一步，更进一步了解这个强大的工具。

下面是一张地址为192.168.1.2的计算机正在访问“”网站时的截图。

1.MENUS（菜单）2.SHORTCUTS（快捷方式）3.DISPLAY FILTER（显示过滤器）4.PACKET LIST PANE（封包列表)5.PACKET DETAILS PANE（封包详细信息）6.DISSECTOR PANE（16进制数据）7.MISCELLANOUS（杂项）1.MENUS（菜单）程序上方的8个菜单项用于对Wireshark进行配置：-"File"（文件）-"Edit"（编辑）-"View"（查看）-"Go"（转到）-"Capture"（捕获）-"Analyze"（分析）-"Statistics"（统计）-"Help"（帮助）打开或保存捕获的信息。

Linux中的网络监控技巧使用tcpdump和wireshark命令进行抓包在Linux系统中，网络监控是一项非常关键的工作。

通过对网络数据包进行抓取和分析，可以帮助我们解决网络故障、优化网络性能以及保障网络安全。

本文将介绍两个常用的网络监控工具：tcpdump和wireshark，并介绍它们在Linux系统中的使用技巧。

一、tcpdumptcpdump是一个强大的命令行工具，可以在Linux系统中用于抓取和分析网络数据包。

它可以监控网络接口上的所有数据包，并将它们以各种格式进行展示，帮助我们深入了解网络通信过程。

安装tcpdump：在大多数Linux发行版中，tcpdump都默认安装在系统中。

如果您的系统没有预装tcpdump，可以通过以下命令进行安装：```sudo apt-get install tcpdump```抓取数据包：使用tcpdump抓取网络数据包非常简单，只需在命令行中输入以下命令：```sudo tcpdump```这样，tcpdump会开始在默认网络接口上抓取数据包，并将它们以默认格式输出到终端。

设置过滤器：有时候，我们只关注特定的网络流量或协议。

tcpdump支持设置过滤器来实现按需抓取。

例如，我们只想抓取目标IP地址为192.168.1.100的数据包，可以使用以下命令：```sudo tcpdump host 192.168.1.100```类似地，我们可以通过端口号、协议等设置更详细的过滤条件。

输出到文件：tcpdump默认将抓取的数据包输出到终端，但有时我们希望将数据保存到文件中进行离线分析。

可以使用以下命令将数据包输出到文件：```sudo tcpdump -w output.pcap```这样，tcpdump会将抓取到的数据包保存到output.pcap文件中。

二、wiresharkwireshark是一个功能强大的图形化网络分析工具，可以在Linux系统中使用。

Wireshark抓包使用技巧使用capture filter过滤报文Capture Filter是指在捕捉时就对报文进行过滤，由此，Wireshark对不感兴趣的报文不再记录和显示。

其优点是可以节省本地存储和显示资源，适合于报文数目过于庞大而对本地计算资源带来冲击的场合。

Capture Filter的使用方法1. 选择Capture，在菜单中选择Option2. 勾选想要抓取的网口，并在过滤栏写入过滤表达式，也可以使用Capture Filter中已经创建好的表达式。

表达式的相关内容在后文叙述。

3. 点击Start开始抓取报文，可以看到抓取的报文中没有ARP报文，Capture Filter已经发挥作用。

使用display filter过滤报文Display Filter是指选将所有的报文都抓取到本地，然后使用过滤器找到感兴趣的报文。

其优点是可以抓取到所有报文，适用于并不确定要抓取某种特定报文的场合。

在我们实际工作中，本地计算机的存储和计算性能都比较好，不太需要担心资源不足的问题，且大部分情况下需要抓取端口的所有报文以便于后续分析。

所以，此种方法使用要较Capture Filter普遍。

Display Filter的使用方法：1. 正常捕捉报文2. 在过滤栏里填写过滤表达式，或者在Expression选项中编写自己需要的表达式。

回车后就能立刻过滤出感兴趣的报文。

过滤表达式我们通过在过滤栏中键入过滤表达式来过滤报文，所以了解如何正确使用Wireshark的过滤表达式十分重要。

先来看一下Wireshark过滤表达式的语法：l 点操作符WireShark使用英文半角符号点“.”来表示层属关系。

比如ip.addr就代表ip报文的地址字段，既包括源地址也包括目的地址；arp.dst.proto_ipv4就表示ARP报文的IPv4目的地址。

l 过滤比较操作符l 过滤逻辑操作符l 括号操作符Wireshark允许用“[]”选择一个序列的子序列。

16网络分析系列之十六_如何查看数据包中协议信息在网络分析中，查看数据包中的协议信息是非常重要的，可以帮助我们了解网络通信中所使用的协议，定位网络问题以及进行网络安全分析。

本文将介绍如何使用Wireshark这一常用的网络分析工具来查看数据包中的协议信息。

Wireshark是一个开源的网络分析工具，可以捕获和分析网络数据包，并提供了丰富的功能来查看、过滤和解析数据包中的协议信息。

下面是使用Wireshark来查看数据包中协议信息的步骤。

第一步，安装Wireshark。

第二步，启动抓包。

在Wireshark窗口的主界面上，选择一个网络接口，比如以太网接口或者无线网卡接口。

点击“开始”按钮，Wireshark将开始捕获该接口上的数据包。

第三步，查看协议信息。

在Wireshark窗口中，我们可以看到捕获到的数据包列表。

每个数据包的行会显示一些基本信息，如数据包编号、时间戳、源IP地址、目标IP地址、协议、长度等。

我们可以通过点击每个数据包来查看其详细信息。

在详细信息窗口中，Wireshark会将数据包按照协议层次结构进行解析，并将每个协议的详细信息展示出来。

从最高层开始，我们可以看到以太网帧，然后是IP协议和传输层协议（如TCP或UDP），再到应用层协议（如HTTP、FTP、DNS等）。

此外，Wireshark还提供了对数据包进行统计和绘图的功能，可以对网络流量和包大小等进行可视化分析。

我们可以通过点击“统计”菜单中的各个选项来进行相应的分析。

总结起来，使用Wireshark来查看数据包中的协议信息是网络分析中的一项重要任务。

通过Wireshark提供的丰富功能和界面，我们可以快速、直观地了解网络通信中所使用的协议，并在必要时进行分析和解决网络问题。

文档维护人：杨云邮箱：yangyun@版权所有 侵权必究 2013年12月上海网宿科技股份有限公司扎实稳健，和谐融洽志存高远，厚积薄发Wireshark 使用指南---通过wireshark 分析pcap 抓包方法说明版本修订记录（项目）目录1.背景 (4)2.支持的文件格式 (4)3.源目的IP查看 (4)4.DNS报文查看 (4)5.HTTP报文查看 (6)6.报文过滤语法 (8)（1）IP过滤：包括来源IP或者目标IP等于某个IP (8)（2）端口过滤： (8)（3）协议过滤： (9)（4）TCP显示过滤规则： (9)（5）包长度过滤： (9)（6）HTTP模式过滤： (9)（7）表达式： (11)1.背景本文档介绍如何利用wireshark工具分析抓包。

2.支持的文件格式支持解析wireshark或者tcpdump等抓包工具抓下来的报文，支持pcap/pcapng/cap等抓包格式。

（tcpdump抓包工具使用见“tcpdump使用指南.docx”）3.源目的IP查看通过目的IP查看判断用户访问是否到我们的加速服务。

以及其他的问题。

Pcap包在wireshark中展示如下图，由左往右各列的含义分别是：流序列号即第几条流（No.），相对时间（Time），源IP（Source），目的IP（Destination），协议（Protocol），报文长度（Length），报文详情（Info）。

红色框的部分就是抓包的源IP和目的IP了。

4.DNS报文查看可以通过dns判断域名是否引导到我们的加速服务上。

以及dns相关的其他问题。

过滤条件填dns，apply应用过滤条件，即可过滤出dns报文，如下图。

Info（报文详情）列查看dns报文的详情。

详情内容如“Standard query 0x4899 A ”，为dns请求报文，为请求解析的域名；内容如“Standard query response 0x6900 CNAME CNAME A 42.62.12.123 A 42.62.12.121”为dns响应报文，意思是解析的域名有别名和，解析结果IP是42.62.12.123 和42.62.12.121。

wireshark使⽤⽅法总结Wireshark基本⽤法抓取报⽂: 下载和安装好Wireshark之后，启动Wireshark并且在接⼝列表中选择接⼝名，然后开始在此接⼝上抓包。

例如，如果想要在⽆线⽹络上抓取流量，点击⽆线接⼝。

点击Capture Options可以配置⾼级属性，但现在⽆此必要。

点击接⼝名称之后，就可以看到实时接收的报⽂。

Wireshark会捕捉系统发送和接收的每⼀个报⽂。

如果抓取的接⼝是⽆线并且选项选取的是混合模式，那么也会看到⽹络上其他报⽂。

上端⾯板每⼀⾏对应⼀个⽹络报⽂，默认显⽰报⽂接收时间（相对开始抓取的时间点），源和⽬标IP地址，使⽤协议和报⽂相关信息。

点击某⼀⾏可以在下⾯两个窗⼝看到更多信息。

“+”图标显⽰报⽂⾥⾯每⼀层的详细信息。

底端窗⼝同时以⼗六进制和ASCII码的⽅式列出报⽂内容。

需要停⽌抓取报⽂的时候，点击左上⾓的停⽌按键。

⾊彩标识: 进⾏到这⾥已经看到报⽂以绿⾊，蓝⾊，⿊⾊显⽰出来。

Wireshark通过颜⾊让各种流量的报⽂⼀⽬了然。

⽐如默认绿⾊是TCP报⽂，深蓝⾊是DNS，浅蓝是UDP，⿊⾊标识出有问题的TCP报⽂——⽐如乱序报⽂。

报⽂样本: ⽐如说你在家安装了Wireshark，但家⽤LAN环境下没有感兴趣的报⽂可供观察，那么可以去Wireshark wiki下载报⽂样本⽂件。

打开⼀个抓取⽂件相当简单，在主界⾯上点击Open并浏览⽂件即可。

也可以在Wireshark⾥保存⾃⼰的抓包⽂件并稍后打开。

过滤报⽂: 如果正在尝试分析问题，⽐如打电话的时候某⼀程序发送的报⽂，可以关闭所有其他使⽤⽹络的应⽤来减少流量。

但还是可能有⼤批报⽂需要筛选，这时要⽤到Wireshark过滤器。

最基本的⽅式就是在窗⼝顶端过滤栏输⼊并点击Apply（或按下回车）。

例如，输⼊“dns”就会只看到DNS报⽂。

输⼊的时候，Wireshark会帮助⾃动完成过滤条件。

也可以点击Analyze菜单并选择Display Filters来创建新的过滤条件。

Wireshark使⽤与功能介绍fidder主要是针对http(s)协议进⾏抓包分析的，所以类似wireshark/tcpdump这种⼯作在tcp/ip层上的抓包⼯具不太⼀样，这种⼯具⼀般在chrome/firefox的开发者⼯具下都有集成。

安装wireshare会推荐安装winpcap,winpcap(windows packet capture)是windows平台下⼀个免费，公共的⽹络访问系统。

开发winpcap这个项⽬的⽬的在于为win32应⽤程序提供访问⽹络底层的能⼒.Wireshark介绍wireshark是⾮常流⾏的⽹络封包分析软件，功能⼗分强⼤。

可以截取各种⽹络封包，显⽰⽹络封包的详细信息。

wireshark是开源软件，可以放⼼使⽤。

可以运⾏在Windows和Mac OS上。

使⽤wireshark的⼈必须了解⽹络协议，否则就看不懂wireshark了。

Wireshark不能做的为了安全考虑，wireshark只能查看封包，⽽不能修改封包的内容，或者发送封包。

Wireshark VS FiddlerFiddler是在windows上运⾏的程序，专门⽤来捕获HTTP，HTTPS的。

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容总结，如果是处理HTTP,HTTPS 还是⽤Fiddler, 其他协议⽐如TCP,UDP 就⽤wireshark同类的其他⼯具微软的network monitorsniffer什么⼈会⽤到wireshark1. ⽹络管理员会使⽤wireshark来检查⽹络问题2. 软件测试⼯程师使⽤wireshark抓包，来分析⾃⼰测试的软件3. 从事socket编程的⼯程师会⽤wireshark来调试4. 听说，华为，中兴的⼤部分⼯程师都会⽤到wireshark。

总之跟⽹络相关的东西，都可能会⽤到wireshark.sniffer:1.安装sniffer后，运⾏时，找不到⽹卡，（sniffer在win 7下找不到⽹卡）解决⽅法：点击开始—找到sniffer的快捷⽅式—右键属性—把兼容模式改为“windows xp sp3”—确定—再次运⾏，就可以找到⽹卡了。

wireshark抓包工具用法wireshark啊，这可是个超有趣又超有用的抓包小能手呢。

咱先说说这wireshark的界面吧。

打开它就像打开了一个装满各种网络小秘密的百宝盒。

界面上有好多栏，就像是一个个小格子，每个格子都有它的用处。

最上面那栏，就像是一个小导航，能让你找到各种功能按钮。

左边那一栏呢，像是个小目录，把抓到的包都整整齐齐地列在那儿。

而中间那一大块地方，就像是个大舞台，每个抓到的包都在这儿展示自己的详细信息。

抓包之前啊，得先选好要抓包的网络接口。

这就好比钓鱼之前得选好鱼竿要放的地方。

如果选错了接口，就像在没鱼的小水坑里钓鱼，啥也抓不到。

一般电脑上会有好几个网络接口，像有线网卡、无线网卡啥的。

要是你想抓无线的包，就得选那个无线网卡对应的接口。

怎么选呢？在wireshark的界面里仔细找一找，能看到一个像小齿轮旁边有好多小线条的图标，点进去就能看到那些接口啦，然后挑中你想要的那个就行。

开始抓包的时候啊，就像按下了一个魔法按钮。

一瞬间，各种包就像小虫子一样纷纷被捕捉到了。

你会看到左边的小目录里包的数量蹭蹭往上涨。

这时候可别急，每个包都像是一个带着小秘密的小包裹。

你要是想看看某个包里面到底装了啥，就点一下它。

然后中间的大舞台就会把这个包的详细信息都展示出来。

比如说，有这个包的源地址、目的地址，就像是写信的时候的寄信人和收信人地址一样。

还有这个包的协议类型，是TCP 呢还是UDP，这就好比是信件是用挂号信的方式寄的（TCP比较可靠），还是像明信片一样随便寄寄（UDP速度快但不太可靠）。

要是你想找特定类型的包，这也不难。

wireshark有个很厉害的小功能，就像一个小筛子一样。

比如说你只想看HTTP协议的包，因为你想知道网页之间是怎么传递信息的。

那你就可以在上面的搜索栏里输入“HTTP”，然后神奇的事情就发生了，那些不是HTTP协议的包就像小沙子一样被筛掉了，只剩下HTTP协议的包展现在你眼前。