:max_bytes(150000):strip_icc()/ScottOrgera-f7aca23cc84a4ea9a3f9e2ebd93bd690.jpg)
本文中的说明适用于Wireshark 3.0.3 for Windows和Mac。
什么是wireshark?
最初被称为Ethereal, Wireshark显示来自数百个不同的数据协议所有主要的网络类型。数据包可以实时查看或离线分析。Wireshark支持几十种捕获/跟踪文件格式,包括帽和ERF..集成的解密工具显示多个常用协议的加密数据包,包括WEP.和WPA / WPA2.
如何下载并安装Wireshark
Wireshark可以免费从Wireshark Foundation网站适用于macOS和Windows。您将看到最新的稳定版本和当前的开发版本。除非您是高级用户,否则请下载稳定版本。
:max_bytes(150000):strip_icc()/001_wireshark-tutorial-4143298-52d1294a66f64810b14dbfc6fdbe00de.jpg)
在Windows安装过程中,选择安装WinPcap或者NPCAP.如果提示,这些包括实时数据捕获所需的库。
:max_bytes(150000):strip_icc()/001-wireshark-tutorial-4143298-8944764352c445c89af8571085055965.jpg)
您必须以管理员身份登录设备以使用Wireshark。在Windows 10中,搜索Wireshark并选择以管理员身份运行.在MacOS中,右键单击App图标并选择获取信息.在共享和权限设置,给管理员阅读和写入特权。
:max_bytes(150000):strip_icc()/002-wireshark-tutorial-4143298-09827053b9cd4445ac165d68a0039808.jpg)
该应用程序也可用于Linux和其他Unix的平台包括Red Hat,Solaris和FreeBSD。这些操作系统所需的二进制文件可以在底部找到Wireshark下载页面在下面第三方包部分。您也可以从这个页面下载Wireshark的源代码。
如何使用wireshark捕获数据包
当您启动Wireshark时,欢迎屏幕列出了当前设备上可用的网络连接。每个页面的右侧显示的是一个心电图式的线形图,它代表了该网络上的实时流量。
要开始使用Wireshark捕获数据包:
-
选择一个或多个网络,转到菜单栏,然后选择捕获.
要选择多个网络,请长按转变当您选择的钥匙。
-
在Wireshark Capture接口窗口,选择开始.
还有其他方法可以启动数据包捕获。选择鱼翅在Wireshark工具栏的左侧,按Ctrl + E.,或双击网络。
-
选择文件>另存为或选择一个出口选项来记录捕获。
-
停止捕捉,按Ctrl + E..或者,转到Wireshark工具栏并选择红色停止鲨鱼鳍旁边的按钮。
:max_bytes(150000):strip_icc()/003-wireshark-tutorial-4143298-024370e017284dc0a251f91a3566cf06.jpg)
:max_bytes(150000):strip_icc()/004-wireshark-tutorial-4143298-3db6aeba8777467c8fc3e42ac304f3f6.jpg)
:max_bytes(150000):strip_icc()/005-wireshark-tutorial-4143298-c60e3bb4537a4615b8326d5ff8550407.jpg)
:max_bytes(150000):strip_icc()/006-wireshark-tutorial-4143298-016d2b41501149d994d0d9e78239d964.jpg)
如何查看和分析数据包内容
捕获的数据接口包含三个主要部分:
- 数据包列表窗格(顶部部分)
- 数据包详细信息窗格(中间部分)
- 数据包字节窗格(底部部分)
:max_bytes(150000):strip_icc()/008_wireshark-tutorial-4143298-7fc1de4be4e746278f59f2179a453528.jpg)
数据包列表
位于窗口顶部的数据包列表窗格显示在活动捕获文件中找到的所有数据包。每个数据包有自己的行和相应的编号分配给它,以及每个数据点:
- 不:此字段表示哪些数据包是相同对话的一部分。在您选择数据包之前,它仍然为空。
- 时间:捕获数据包时的时间戳显示在此列中。默认格式是自首次创建此特定捕获文件的秒数或部分秒数。
- 来源:此列包含分组源自该数据包的地址(IP或其他)。
- 目的地:此列包含要发送数据包的地址。
- 协议:Packet的协议名称(如TCP)可以在此列中找到。
- 长度:数据包长度,以字节为单位显示在此列中。
- 信息:关于该包的其他细节在这里给出。根据数据包内容的不同,这个列的内容可能会有很大的不同。
要将时间格式更改为更有用的格式(例如一天中的实际时间),请选择看法>时间显示格式.
:max_bytes(150000):strip_icc()/007-wireshark-tutorial-4143298-ac0e56f1a0984c1b93a91b1641c7fe88.jpg)
当在顶部窗格中选择数据包时,您可能会注意到一个或多个符号出现在不。柱子。打开或封闭括号和直线线路指示数据包或数据包组是网络上的相同前后对话的一部分。破碎的水平线表示数据包不是对话的一部分。
:max_bytes(150000):strip_icc()/008-wireshark-tutorial-4143298-13534b80059945e88759286cb3338360.jpg)
数据包细节
在中间找到的详细信息窗格以可折叠格式呈现所选数据包的协议和协议字段。除了扩展每个选择外,您还可以根据具体的详细信息应用单个Wireshark过滤器,并通过右键单击所需的项目,根据协议类型遵循数据流。
:max_bytes(150000):strip_icc()/009-wireshark-tutorial-4143298-490a6676280b43cd900557647ff9e92d.jpg)
数据包字节
底部是数据包字节窗格,它以十六进制视图显示所选数据包的原始数据。这十六进制转储包含16个十六进制字节和16个ASCII字节,与数据偏移一起。
选择此数据的特定部分会自动突出显示其在数据包详细信息窗格中的相应部分,反之亦然。任何无法打印的字节都由一段时间表示。
:max_bytes(150000):strip_icc()/010-wireshark-tutorial-4143298-9b5ba526d6e54f8bb3ac49eaea6d08fa.jpg)
要以位格式显示此数据,而不是十六进制,请右键单击窗格中的任何位置并选择作为比特.
:max_bytes(150000):strip_icc()/011-wireshark-tutorial-4143298-0b7390128b5a47c38aca851eeed120b5.jpg)
如何使用Wireshark过滤器
捕获过滤器指示Wireshark仅记录符合指定条件的数据包。过滤器也可以应用于已创建的捕获文件,以便仅显示某些数据包。这些被称为显示滤波器。
Wireshark缺省提供了大量的预定义过滤器。若要使用这些现有筛选器之一,请在应用显示过滤器入口字段位于Wireshark工具栏下方或输入捕获过滤器现场位于欢迎屏幕的中心。
例如,如果要显示TCP数据包,请键入TCP..Wireshark自动完成功能会在你开始输入时显示建议的名称,这使得你更容易找到你正在寻找的过滤器的正确名称。
:max_bytes(150000):strip_icc()/012-wireshark-tutorial-4143298-5e45505c0f434a9ba2d3a8f70a850617.jpg)
选择过滤器的另一种方法是选择书签在输入栏的左边。选择管理筛选器表达式或者管理显示过滤器添加、删除或编辑过滤器。
:max_bytes(150000):strip_icc()/013-wireshark-tutorial-4143298-f169e33e47ba4aafb336b9d47029867d.jpg)
您还可以通过在输入字段右侧选择向下箭头来显示历史记录下拉列表来访问以前使用过的过滤器。
:max_bytes(150000):strip_icc()/014-wireshark-tutorial-4143298-f09d24778ff94ff29a2bbd3ee883fc4c.jpg)
开始录制网络流量后立即应用捕获过滤器。要应用显示过滤器,请在“入口”字段的右侧选择右箭头。
Wireshark颜色规则
虽然Wireshark的捕获和显示过滤器限制了屏幕上录制或显示的数据包,但其着色函数进一步采用步骤:它可以基于其各个色调来区分不同的数据包类型。这将在数据包列表窗格中通过其行颜色快速找到某些数据包。
:max_bytes(150000):strip_icc()/wireshark-colors-59512e8f3df78cae8137715b.png)
Wireshark提供了大约20条默认的着色规则,每一条都可以被编辑、禁用或删除。选择看法>着色规则为了了解每种颜色的含义。你也可以添加你自己的基于颜色的过滤器。
:max_bytes(150000):strip_icc()/015-wireshark-tutorial-4143298-91567e80185c4f16bfc46f6793c0301a.jpg)
选择看法>彩色化包列表打开和关闭数据包着色。
Wireshark的统计数据
可以通过其他有用的指标统计数据下拉菜单。其中包括关于捕获文件的大小和时间信息,以及从包对话分解到HTTP请求的负载分布等主题的许多图表和图表。
:max_bytes(150000):strip_icc()/020__wireshark-tutorial-4143298-24bfe8984431438b9ba2ec43f701607d.jpg)
显示筛选器可以通过它们的接口应用于许多统计数据,结果可以导出为常见的文件格式,包括CSV,XML.和txt。
Wireshark高级功能
Wireshark还支持一些高级特性,包括用Lua编程语言编写协议解析器的能力。
:max_bytes(150000):strip_icc()/cap-file-2622694-a953ea08073c4f57b93bdb2599f85d21.png)
:max_bytes(150000):strip_icc()/use-netstat-on-mac-guide-hero-5bad6acfc9e77c0051f565ba.jpg)
:max_bytes(150000):strip_icc()/router-bandwidth-graph-494a0e822f7f460494d436de9818d443.jpg)
:max_bytes(150000):strip_icc()/WirelessDiagnosticsPerformance-5695158c3df78cafda8bca76.jpg)
:max_bytes(150000):strip_icc()/what-is-a-packet-sniffer-2487312-a2b309516aa1492b88390593280f283b.png)
:max_bytes(150000):strip_icc()/GettyImages-97234433-57169eb93df78c3fa2c5efe6.jpg)
:max_bytes(150000):strip_icc()/MTU-vs-TCP-d163167422fb4f28a6e7f5f46cbd345f.jpg)
:max_bytes(150000):strip_icc()/CoverflowOptions-575891745f9b5892e8584a6f-595191f206834927bd2bdd7cfe1bf854.jpg)
:max_bytes(150000):strip_icc()/bruce-mars-559223-unsplash-5c0222ff46e0fb0001acf185.jpg)
:max_bytes(150000):strip_icc()/GettyImages-172246797-5bf2ab4946e0fb0026a87fcb.jpg)
:max_bytes(150000):strip_icc()/how-to-check-if-a-port-is-open-in-windows-10-5179458-9-e9d4d1e1f9894e0188ba8d5bf2376e3c.jpg)
:max_bytes(150000):strip_icc()/GettyImages-691430076-5ab3e9e81f4e1300372bb162.jpg)
:max_bytes(150000):strip_icc()/file-concept-123354656-593c5b613df78c537b39e531-696316c434764fec80d6b79cae8cb882.jpg)
:max_bytes(150000):strip_icc()/GettyImages-83266598-ba17803cd6cf46ff9e472a31ed661834.jpg)
:max_bytes(150000):strip_icc()/Switch_ACNH_ND0220_screen_04-72e8f8da88cc4538bbc359d581d5ae9a.jpg)
:max_bytes(150000):strip_icc()/what-do-http-and-https-stand-for-3482375-v2-ct-cd694e0e6091475da69a0a36e367fef4.png)