文章目录

• 软件功能
• 平台支持
• 下载 站
• 相关软件
• wireshark抓包原理
• • 络层原理
  • 底层原理
• 软件基本应用
• • wireshark界面详解
• 软件调试
• • 过滤器

wireshark

软件功能

• 分析 络层协议
• 解决 络故障问题
• 寻找 络安全问题

平台支持

windows、linux/Unix、MACOS

下载 站

https://www.wireshark.org/
https://wiki.wireshark.org/

相关软件

sniffer(嗅探器)、Fiddier(针对HTTP)、科来 络分析系统

wireshark抓包原理

络层原理

（1）PC2想和PC3通信，故而向交换机发送广播

（2）正常情况下PC1会将此包丢弃掉（因为要找的不是它），但是这里的PC1会进行ARP欺骗，告诉PC2它就是PC2要找的PC3

（3）因为ARP后到优先的特性，PC2很大可能会认为PC1的MAC地址是自己要找的PC3

（4）就这样，PC2和PC3的通信就变成了PC2和PC1的通信了。

（5）至于后续PC1要不要把数据（可能被修改的数据）交给PC3，那完全取决于PC1的心情。

底层原理

• File：“文件”栏，包含了打开和合并捕获数据文件项、部分或全部保存/打印/导出捕获数据文件项以及退出应用程序选项等。
• View：“视图”栏，主要用来控制捕获数据的显示方式。“视图”栏包括了数据包着色选项、缩放字体选项、在新窗口显示数据包选项、展开/折叠数据包细节选项等。
• Go：“跳转”栏，主要用来跳转到指定数据包。
• Analyze：“分析”栏，包含了显示包过滤宏、启用协议、配置用户指定的解码方式以及追踪TCP流等选项。
• Statistics：“统计”栏，可以显示各种统计窗口，这些统计窗口包括捕获文件的属性选项、协议分级选项以及显示流量图选项等。
• Telephony：“统计”栏，可以显示与电话相关的统计窗口，这些统计窗口包括媒介分析、VoIP通话统计选项以及SIP流统计选项等。
• Wireless：无线”栏，用来显示蓝牙和无线 络的统计数据。
• Tools：“工具”栏，包含了Wireshark中能够使用的工具。
• Help：“帮助”栏，为用户提供一些基本的帮助，包括了说明文档选项、 页在线帮助选项以及常见问题选项等。

• Filter:筛选栏，输入筛选条件，来在捕获的记录中找到所需要的记录。

• Frame: 物理层的数据帧概况

• Ethernet II: 数据链路层以太 帧头部信息

• Internet Protocol Version 4: 互联 层IP包头部信息

• Transmission Control Protocol: 传输层T的数据段头部信

• Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议

十六进制数据（Packet Bytes）
以十六进制和ASCII码的形式显示数据包的内容。
状态栏
包含有专家信息、注释、包的数量和Profile。

！注意：wireshark中MAC地址前三位是厂商名称

软件调试

过滤器

显示过滤器Filter:输入筛选条件，来在捕获的记录中找到所 需要的记录。
筛选实例：
1.筛选ip地址为180.97.134且tcp端口为80的。
输入：
2.筛选tcp协议的数据包，直接在筛选栏。
输入
3.只查看长度小于128字节的数据包。
输入
4.只显示与192.168.1.1有关且与tcp端口15234有关的数据包。
输入

此外我们可以保存筛选条件，方便下次直接使用，操作如下：

• 点击菜单栏Analyze——Display Filters——new——在Filter name里给它取个名——在Filter string把我们的筛选条件写上去——Apply——OK
  捕获过滤器Filter：
• 在Capture Filter一栏中输入筛选条件
• 点击OK后，再点击“Start”，即开始捕获通过筛选的数据包。

！注意：捕获过滤器应用于WinPacp，并使用Berkeley Packet Filter（BPF）语法。
筛选命令例子：
1.，捕获来自192.168.1.1的数据包

2.，只想要得到代表目标不可达（类型3）信息的ICMP数据包。
3. ，捕获除8080端口外的所有数据包
4. ，捕获tcp数据包