目录
- 一、了解 Wireshark
- 1. 作用和功能
- 2. 使用步骤
- 二、下载安装包
- 三、运行安装包
- 四、使用 Wireshark
- 1. 抓包
- 2. 窗口介绍
- 3. 过滤器(显示 / 捕获过滤器)
- 4. 保存过滤后的报文
- 1)显示过滤器表达式(了解)
- 2)过滤表达式的规则
- 5. 封包列表
- 6. 封包详细信息
- 1)以太网帧的具体内容
- 2)IPv4 包的具体内容
- 3)TCP 包的具体内容
- 4)UDP 包的具体内容
一、了解 Wireshark
Wireshark 是一个网络抓包工具,简单来说,它可以帮你 “偷听” 电脑和网络上数据传输的内容。它会捕获经过你电脑网络接口的所有网络数据包,然后让你看到这些数据包的详细信息。
1. 作用和功能
-
网络故障排查:帮你找出网络连接问题,比如为什么网速慢,为什么某个服务连接不上。
-
协议分析:可以查看各种网络协议的数据,了解网络通信细节。
-
安全检测:监控网络中有没有异常数据包,帮助发现可能的攻击或入侵。
-
学习研究网络:对网络协议感兴趣的人可以用它学习网络底层知识。
-
应用调试:开发网络应用时,用它查看数据是否正常发送和接收。
2. 使用步骤
-
安装软件:从官网(wireshark.org)下载安装包,按照提示安装。
-
打开软件,选择网络接口:双击图标启动 Wireshark 后,会列出你电脑的所有网络接口(有线、无线等),选择你想监控的那个(比如 Wi-Fi)。
-
开始抓包:点击 “开始 / Start” ,软件就开始抓取经过这个接口的所有网络数据包。
-
查看数据包:抓取到数据后,界面会显示每个数据包的时间、源地址、目的地址、协议类型等信息。点击某个包,可以看到它的详细数据和内容。
-
过滤数据包:网络上流量很多,Wireshark 支持 “过滤” ,让你只看感兴趣的内容,比如只看 HTTP 协议的包,或某个 IP 地址的包,过滤语法是它的一大特色。
-
保存和分析:抓取的数据可以保存下来,稍后分析,或者分享给别人。
二、下载安装包
访问【Wireshark 官网】,下载最新版本的安装包。
官网地址:https://www.wireshark.org/
单击 “Windows x64 Installer” ,等待安装包下载完成。
三、运行安装包
-
双击下载好的 Wireshark-4.4.6-x64 ,并允许此应用对你的设备进行更改。
-
阅读并同意软件协议,点击 “Next” 继续。
- 选择安装路径(建议不要安装在 C 盘)以及需要安装的软件。
- 必须勾选 “Install NPcap” ,否则将无法捕获实时网络流量。
- 可以不勾选 “Install USBPcap” ,它用于捕获 USB 数据包,不是必选项。
- 安装 NPcap ,需要勾选后两项,如下图所示。
- 安装完成后,点击 “Finish” ,系统可能会提示重启电脑。
注意事项:
-
安装过程中可能需要关闭其他应用程序,以确保安装顺利进行。
-
安装完成后,建议重启电脑以确保所有驱动和服务正常运行。
四、使用 Wireshark
1. 抓包
Wireshark 可以捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡时,就需要先选择一个网卡进行捕获。如下图所示,然后点击 “捕获” → “开始” 对 WLAN 进行抓包,点击旁边的红色方块即可停止捕获分组。
2. 窗口介绍
Wireshark 主要分为以下几个界面:
-
Display Filter(显示过滤器):用于过滤。
-
Packet List Pane(封包列表):显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同代表不同类型的网络流量或封包状态。
- 蓝色:常见的 TCP 流量,比如 TCP 握手过程(SYN、ACK)等。
- 绿色:通常表示 UDP 流量,比如 DNS 查询包。
- 黑色:通常代表错误或者异常流量,比如 TCP 重传、TCP 重复确认、或数据包损坏。
- 红色:一般表示高优先级或警告性质的流量,比如 TCP 重传、连接被重置(RST 包)等。
- 灰色:通常是未知协议或不重要的流量。
-
Packet Details Pane(封包详细信息):显示封包中的字段。
-
Dissector Pane(16 进制数据)。
-
Miscellanous(地址栏,杂项)。
可以在 Wireshark 中通过菜单的 “视图”(View)→ “着色规则”(Coloring Rules)查看和自定义这些颜色规则。
3. 过滤器(显示 / 捕获过滤器)
学会使用过滤是非常重要的, 初学者在使用 Wireshark 时,将会得到大量的冗余信息,在几千甚至几万条记录中,很难找到自己需要的部分。
过滤器可以帮助我们在大量的数据中迅速找到我们需要的信息。过滤器有以下两种:
-
显示过滤器:位于主界面,用来在捕获的记录中找到所需要的记录。
-
捕获过滤器:用来过滤捕获的封包,以免捕获太多的记录,在 “捕获”(Capture)→ “捕获过滤器”(Capture Filters)中设置。
4. 保存过滤后的报文
在显示过滤器上填写想要过滤的表达式,回车后即可过滤报文。然后点击工具栏的 “文件” → “导出特定分组” ,设置保存路径,填写文件名称,然后就可以保存指定的数据报文了。
1)显示过滤器表达式(了解)
右键 “显示过滤器” ,单击选择 “Display Filter Expression” 即可。
2)过滤表达式的规则
-
协议过滤:
tcp显示 TCP 协议的报文。 -
IP 过滤:
ip.src==192.168.1.102显示源地址为 192.168.1.102 的报文ip.dst==192.168.1.102显示目标地址为 192.168.1.102 的报文
-
端口过滤:
tcp.port==80显示端口号为 80 的报文tcp.srcport==80显示 TCP 协议且源端口号为 80 的报文
-
Http 模式过滤:
http.request.method=="GET"显示 HTTP GET 方法的报文。 -
逻辑运算符 and or :
ip.src==192.168.1.102 or ip.dst==192.168.1.102显示源地址或目标地址为 192.168.1.102 的报文。
5. 封包列表
封包列表的面板中显示:编号(No.),时间戳(Time),源地址(Source),目标地址(Destination),协议(Protocol),长度(Length),以及封包信息(Info),且不同的协议用了不同的颜色显示。
6. 封包详细信息
这个面板非常重要,用来查看协议中的每一个字段。各行信息分别为:
-
Frame :物理层的数据帧概况。
-
Ethernet II :数据链路层以太网帧头部信息。
-
Internet Protocol Version 4 :网络层 IP 包头部信息。
-
Transmission Control Protocol :传输层 T 的数据段头部信息,此处是 TCP 协议。
-
Hypertext Transfer Protocol :应用层的信息,此处是 HTTP 协议。
1)以太网帧的具体内容
展开 Ethernet II 项可以看到以太网 MAC 帧中的每个字段。
2)IPv4 包的具体内容
展开 Internet Protocol Version 4 项可以看到 IPv4 首部中的每个字段。
3)TCP 包的具体内容
展开 Transmission Control Protocol 项可以看到 TCP 首部中的每个字段。
4)UDP 包的具体内容
展开 User Datagram Protocol 项可以看到 UDP 首部中的每个字段。
