络抓包软件-Wireshark使用分享

Wireshark（以前叫Ethereal）是一个 络封包分析软件。 络封包分析软件的功能是抓取 络封包，并尽可能地显示出详细的 络封包信息。Wireshark使用WinPCAP作为接口，直接与 卡进行数据 文交换。

基础界面介绍

Wireshark软件界面有以下几个功能区域：

· 菜单栏：对Wireshark软件进行各种配置操作，例如：保存捕获的 文。

· 工具栏：快速调用一些常用的操作，例如：开始捕获、停止捕获、设置捕获接口等。

· 过滤栏：在过滤栏设置过滤条件，软件界面会根据过滤条件显示需要查看的 文。

· 文捕获区：查看捕获的 文。

· 文封装区：查看 文的封装协议。

· 文内容区：查看 文的具体内容

启动抓包软件以后，选择好相应的 卡，双击需要抓包的 卡， 如以太 （服
务器一般有多 卡，请确认需要抓包的 卡后再进行抓包，一般查看下面是否有波浪线
即可判断该 卡有无流量产生。）

点击抓包接口之后，就可以看到实时接收的 文。Wireshark会自动捕捉系统发送和接收的每一个 文。工具栏：控制监控的行为，比如开始抓包，停止抓包，重新开始抓包，以及在包之间跳转等等。

文分析

基于源IP地址过滤： ip.src_host==x.x.x.x

基于目标IP地址过滤： ip.dst_host==x.x.x.x

基于源tcp端口过滤： tcp.srcport==80、tcp.dstport == 80，||代表“或”语句

基于协议，如arp、tcp、udp、http、ospf、rip等均可直接输入协议名进行过滤

几种常见的过滤规则（含义：C语言/英文），使用时两种语法均可使用：

等于：== / eq ; 不等于：!= / ne

小： < / lt ；大于：> / gt

小于等于：<= / le ； 大于等于：>= / ge

逻辑与（且）：&& / and

逻辑或：|| / or

逻辑非：！/not

捕获器过滤

以上是针对抓取 文后进行分析过滤的方法。

对于需要长时间抓包或者短时间内会产生大量流量的场景，单独一个数据包的容量会非常大，造成后期传输以及打开等方面使用不方便，此时需要用到分片抓包功能，使得数据包按需求进行分段，步骤如下：
1、 启动 wireshark ，点击菜单栏上的“捕获（ Capture）”，点击第一个菜单选项（ Option）进入选项页。

2、在打开的选项卡中点击输入选项，选择需要抓包的 卡 ，同时可在过滤器设置过滤条件（直接抓取过滤）。比如语句：(host 12.1.1.1 or host 12.1.1.2 || host 12.1.1.1) and port 80 or port 21

此处过滤器条件与前面直接抓取后 文过滤器的字段表示格式有所不同，可参考自带索引：

在“输出”选项，设置保存位置和文件名，设置文件分片条件，可以基于文件大小（如抓取 文达到100M后分割，开始建立下一个 文，依次类推）、时长等：

在“选项”处，设置捕获停止条件，可以基于分组个数或时长。之后点击开始即可：

Wireshark是目前业界 络（系统）运维、应用开发等领域比较常用和通用一款 文获取和分析软件，对于 络分析和排障非常实用。要想深入研究使用该工具，需要对整个TCP/IP协议和业务应用协议非常了解。