Wireshark-抓包-网络分析工具

本文最后更新于:2021年1月12日 下午

信息

Wireshark 是网络数据包分析器
它会尽可能详细地显示捕获的数据包数据
你可以通过它来对网络情况进行分析
特点:开源免费,跨平台,具有GUI,多种协议支持

官网:https://www.wireshark.org/
官方文档: https://www.wireshark.org/docs/wsug_html_chunked/index.html

安装

进入官网下载安装包安装即可,并无特殊操作
官网下载地址:https://www.wireshark.org/download.html

基础使用

此处会演示基本的抓包流程

选择网卡

欢迎界面

进入Wireshark 后,首先会来到选择网卡来的欢迎界面
此时需要你选择一个需要监听网卡即可来到主界面
你可以通过查看网卡名称或者观察其右方对应的流量数据图来识别网卡
在选择好一个网卡后,会来到主界面

主界面

主界面主要由:菜单,主工具栏,过滤器工具栏,数据包列表窗口,数据包信息窗口,数据包字节信息窗口,状态栏 这些要素组成
可以对各个元素留个印象,后续会时不时提起

抓包

开始抓包

点击主工具栏的 鲨鱼图标 即可开始抓包

停止抓包

在认为需要的包已经被抓到以后了,点击主工具栏的 停止图标 即可停止抓包

过滤

在停止抓包后,数据包列表窗口会显示已经抓到的包
其数量一般都会很多,此时需要 编写过滤器 来获取需要的包

实际上,也可以先编写过滤器再进行抓包,二者顺序并不冲突
此处只是指定协议来过滤,更复杂的过滤器编写见后文

过滤完毕后,就能找到需要的数据报文

对捕获结果进行分析

观察


点击 数据包列表窗口 中的数据包,在窗口最左边会出现箭头和线段

线段:实线:代表着会话的各个阶段。虚线:代表着与当前会话无关的其它包
线段上的圆点:代表连续的数据帧
对于连续的数据帧,在数据包信息窗口有一个栏位用于合并显示

箭头:代表这是一个 HTTP 请求。向右指的箭头为请求,向左指的箭头为响应

弯勾TCP的请求数据包

保存抓包数据


网络环境复杂多变,可以将已经抓到的数据进行保存,以后再打开进行分析

过滤器

辅助编写过滤器表达式对话框

在过滤器工具栏里,能直接编写过滤器
但对于新手而言,可能并不能直接过滤器,这时就要借助一些提示来编写

主菜单中点击 分析-Display Filter Expression 就能进入到 显示过滤器表达式对话框

使用这个辅助工具的主要思路:

  1. 搜索,选择一个协议(或者进一步指定字段)
  2. 选择关系
  3. 填入对应值

然后就能在下方获得对应的表达式了

显示过滤器对话框

此对话框用于管理已经编写好的过滤器,就像书签那样
毕竟大多数时候,过滤器内容都比较类似,若是只是差一点点,就没有完全重写编写的必要
将旧的过滤器稍微改写,或者导入已经写好的模板,就能很快速的编写出适应场景的过滤器

过滤器工具栏中的书签图标-管理显示过滤器即可打开该对话框
在打开过程中能看到一些已经在记录中的过滤器, 点击就能应用

这个过滤器管理也很简单,左边是过滤器名称,右边是过滤器表达式
左下角有 添加、删除、复制按钮 来帮助操作。使用上足够简单,无需多言
唯一需要记住的是,只有按OK才会保存操作

搜索数据包

应用过滤器,会使得数据包不在 数据包列表窗口 显示。这也许你并不希望这样
如果希望在当前显示的数据包中找到目标数据包,并且不对过滤结果进行操作,那么就需要使用搜索功能
在 数据包列表窗口 按 ctrl+F 会弹出搜索框

在搜索框的内容里填上过滤器表达式即可进行搜索
当然也可以进行其它方式的搜索


本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!