带你从入门到精通学习WireShark
- 一、什么是WireShark?
- 二、WireShark下载与安装
- 2.1 WireShark下载
- 2.2 WireShark 安装
- 三、WireShark 的使用
- 3.1 选择监听的网络
- 3.2 WireShark 界面简单介绍
- 3.3 开始抓包和停止抓包
- 3.4 抓包信息分析
- 3.5 WireShark 会话着色规则
- 3.6 WireShark 过滤器
- 3.7 保存WireShark文件
一、什么是WireShark?
Wireshark 是一个开源抓包工具或者叫网络嗅探器,用于分析网络流量和分析数据包。
其实WireShark以前的名字不叫WireShark,以前都叫做Ethereal,于1998 年首次开发,直到 2006 年才改为 Wireshark。
Wireshark 在网络排障中使用非常频繁,显示了网络模型中的第 2 层到第 5 层(链路层、网络层、传输层、应用层),不管是网络工程师、网络安全工程师、黑客、软件开发工程师,平时都会用到Wireshark。
二、WireShark下载与安装
2.1 WireShark下载
首先,我们访问WireShark的官网地址https://www.wireshark.org/
点击【Download】:
2.2 WireShark 安装
WireShark下载好后就是安装了,直接双击程序:
然后像安装普通软件一样,一直下一步就行,不想安装在系统盘,自行改下位置。
三、WireShark 的使用
3.1 选择监听的网络
每个人的场景不一样,如果你连接的是有线网络,那么你就选择本地连接的某个如果你点进去,能够看到数据包在不停的刷,那么就表明你选择的网络是正确的。网络,我这里是无线网WAN:
3.2 WireShark 界面简单介绍
WireShark 界面包含:
- 菜单栏
- 工具栏
- 数据包列表面板
- 数据包详细信息面板
- 数据包字节信息面板
具体请看下图:
3.3 开始抓包和停止抓包
如果想要开始抓包,就点击:
如果想要停止抓包,就点击:
抓包过程中想要清空抓包列表,就点击:
3.4 抓包信息分析
会开始/停止抓包,那么抓到的包如何分析呢?
我们随便拿个包看下:
我们可以双击打开这个报文:
得到这样的界面:
- Frame 40055:数据帧,编号为40055,数据帧就是我们抓到的这个包发送的数据,74字节,代表发送数据的大小有74字节的大小。
- Ethernet II, Src: IntelCor_12:5a:b6 (5c:80:b6:12:5a:b6), Dst:
02:c8:a1:89:ae:d8 (02:c8:a1:89:ae:d8):以太网、二层,源目mac地址分别为5c:80:b6:12:5a:b6和02:c8:a1:89:ae:d8。
3.5 WireShark 会话着色规则
网上也有介绍WireShark会话着色规则的,不过都不是很全面。
想要看到最全的默认着色规则,需要这样:
这样我们就能看到所有的默认着色规则,我们需要记住这些默认的规则,这样的话就能很轻易的判断出每条会话属于什么类的信息。
3.6 WireShark 过滤器
Wireshark 中有两种类型的过滤器:第一个是捕获过滤器,另一个是显示过滤器。
捕获过滤器
捕获过滤器在启动捕获操作之前建立,参数只记录和存储用户想要分析的流量,一旦捕获操作开始,就不可能修改这种类型的过滤器。
显示过滤器
显示过滤器包含适用于所有捕获数据包的参数,可以在启动捕获操作之前设置此类过滤器,然后再调整或取消它,还可以在操作进行时建立它,显示过滤器将数据保存在跟踪缓冲区中,隐藏用户不感兴趣的流量并仅显示用户希望查看的信息。
Wireshark 有非常丰富的内置过滤器库,可帮助用户更好地监控他们的网络,想要使用Wireshark过滤器,可以在Wireshark工具栏下方输入相关规则:
尽管 Wireshark 拥有全面的过滤功能,但记住这些语法通常会很棘手,因为规则太多了,你压根顾不过来,所以,这里瑞哥给大家介绍一些常用的规则,足够大家平时使用了,至于遇到一些特殊场景的规则,谷歌一下就行。
❗❗❗ 注意:确保输入任何过滤器时显示过滤器背景为绿色,否则过滤器无效!
3.7 保存WireShark文件
我们在抓完一段时间的包后想要保存抓包过程,我们可以在停止抓包后Ctrl + S进行保存,或者点击开始抓包,会提示你是否保存:
一旦保存成功,会在指定目录生成一个后缀名为.pcapng的抓包文件: