Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。


  同类型的软件有:cain、sniffer


  WinPcap是用于网络封包抓取的一套工具,可适用于32位的操作平台上解析网络封包,包含了核心的封包过滤,一个底层动态链接库,和一个高层系统函数库,及可用来直接存取封包的应用程序界面

  Winpcap提供了两个不同的库:packet.dll 和wpcap.dll。 

packet.dll提供一个底层的API,通过这个API可直接访问网络设备驱动,而独立于Microsoft OS. 

wpcap.dll是一个高层的强大捕获程序库,与Unix下的libpcap兼容。它独立于下层的网络硬件和操作系统

 Wireshark 启动界面

wKioL1mezTeD2LNBAAFJRGqOzGE859.png






























wireshark是捕获机器上的某一块网卡的网络包,当你有多块网卡的时候,你需要选择一个网卡。

点击 抓包->网络接口 出现下面对话框,选择正确的网卡。然后点击"开始"按钮, 开始抓包


wKiom1mezoOyoNKOAABPNwMtr5E936.png









窗口介绍

wKiom1mezsTBQQOgAATWagtbhI8960.png

WireShark 主要分为这几个界面

1. 显示过滤器,用于过滤

2. 封包列表,显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表

3. 封包详细信息,显示封包中的字段

4. 16进制数据

5. 地址栏,杂项


显示过滤器

wKiom1me0VXxDiKVAAAM0jdMV0A519.png

表达式规则

 1. 协议过滤

比如TCP,只显示TCP协议。

2. IP 过滤

比如 

ip.src==192.168.1.102,源地址