这段时间用wireshark比较多,所以想顺便给大家写个简单的wireshark教程出来,因为wireshark的入门抓包比较简单,选择网卡,然后直接start就开始抓包了,不需要做什么修改,但是如果想要灵活的运用wireshark转包就需要对wireshark很多选项都要了解。
因为选项比较多,但真正实用且用的比较多的功能就那几个,所以我把这些功能总结出来,以供新手能够快速上手。
首先来个初步的思维导向图
两步抓包
选择当前正在使用的网卡,然后直接点击start抓包
标记序包
点击mark packet即可标记,取消标记则是取消标记。功能:方便找到需要的包,另外导出的时候可以选择只导出标记的包。
导出指定序包
导出包
可以选择所有包,或者当前选择的包、已经标记的包或者标记包之间的包,这个功能在导出指定包的时候非常实用
首选项中需要用到的
首选项位置:file – preference
“打开文件”位置记忆选项,如果选择remember last directory则是打开上次位置,会经常变,不过我们一般会把抓的包放到同一个目录方便管理,这里可以选择always start in 来指定每次打开固定文件夹。
界面调整
这个很容易理解,可以调整抓包页面的布置,这根据个人喜好,不过以经验来说还是默认的最好用。
抓包选项
调整包的大小或抓包时间来保存,这个功能在局域网流量比较大的时候特别实用,因为流量大的时候,会抓到大量的包,很容易导致软件假死,以至于抓的包丢失。使用这个选项可以控制每积累几M的文件就自动保存,或者每多少分钟自动保存,很实用的功能。
抓包界面显示调节(重要)
如图这几个选项非常重要:
第一和第二个:默认勾选,转包的时候前端滚动显示抓包详情,如果大流量情况下可以关掉节省资源防止卡死。第三个默认勾选,默认隐藏转包协议比例显示,但是比较耗费资源,流量大的时候建议关闭。
第四个:默认勾选,自动将MAC地址转化成易识别设备名。
第五、六个:默认不勾选,如果勾选,将自动将重要IP地址转化成域名,方便识别,如图:
wireshark抓包教程过滤器设置
过滤器分为两种:一种为抓包过滤器,另一种为显示过滤器
区别
抓包过滤器在抓包过程中,不符合这个规则的包则不抓取;而显示过滤器则,在抓包过程中默认全部抓取,在抓取结果中用显示过滤器筛选出想要的结果,两者功能截然不同,而且非常重要。一般在流量比较大的环境需要使用抓包过滤来抓取重要的包,减小软件压力,否则容易卡死。
抓包过滤器
抓包过滤器设置地方如下图:
如下图,即使我过滤了只要80端口的包,抓到的包也是显示100%
显示过滤器
如图:
