Kyle Tang's blog

# Wireshark网络抓包工具入门

2016-07-07

# 简介

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是抓取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

最新版下载地址 https://www.wireshark.org/#download (opens new window) 历史版本下载地址:https://www.wireshark.org/download (opens new window)

这个软件是免费的,支持win,mac,linux

请注意,最新版不支持win xp,win xp的最新版为Wireshark-win32-1.10.14.exe ( https://www.wireshark.org/download/win32/all-versions/Wireshark-win32-1.10.14.exe (opens new window)

winxp 版本界面:

wireshark-0

2.0.4版本界面

wireshark-1

# Hello World

  1. 选择网卡点击开始

wireshark-2

  1. 开始抓包,界面布局

wireshark-3

  1. 增加显示过滤条件,只显示 www.baidu.com 相关的包

wireshark-4

  1. 用浏览器打开百度,查看抓包信息

wireshark-5

  1. 按ip地址过滤

wireshark-6

  1. 按端口过滤

wireshark-7

  1. 如果你的HTTP协议端口不是80,比如18000,那么wireshark默认是无法解析成http协议的。可以这样修改配置,菜单:Edit->Preferences

wireshark-8

wireshark-9

# 常用的过滤条件

表达式可以是==, !=, >=, <=, contains, matches, 条件可以是 and ,or

  1. 查看与指定ip端口的通信数据数据包,端口80并且ip为124.243.204.153

tcp.port==80 and ip.addr==124.243.204.15

  1. 目的ip:

ip.dst_host==192.168.1.100

  1. 目的端口:

tcp.dstport==80

  1. 按协议过滤,比如http协议,直接输入http

  2. 同时查看多个端口 tcp.port in {80 443 8080}

  3. 多个源ip ip.src==10.0.0.5 or ip.src==192.1.1.1

  4. 协议内容,比如请求uri包含api的 http.request.uri contains "api"