【个人总结系列-8】Wireshark数据包分析及工具使用-学习总结

Wireshark数据包分析及工具使用-学习总结

Wireshark常用功能总结

以下是对使用Wireshark1.8.3软件抓包并分析数据包的总结，不同的版本软件的界面略有差别。对于抓包部分，常用的功能就是工具栏中的前五个按钮。打开软件后，最常用的按钮如下面所示，红框中的按钮从左到右依次是：-列表显示所有网卡的网络包情况：一般用的很少；

-显示抓包选项：一般都是点这个按钮开始抓包；

-开始新的抓包：一般用的也很少；

-停止抓包：当你抓完包之后，就是点这个停止了；

-清空当前已经抓到的数据包并继续抓包：可以防止抓包时间过长机器变卡。

图3-3-1 Wireshark1.8.3菜单栏

而实际上，一般我们只要知道上面按钮的功能，就可以完成抓包了，剩下的就是如何抓你想要的数据包，如何分析的问题了。以下是分别对各个按钮及相关功能使用的介绍。

（1）第一个按钮：列表显示所有网卡的网络包情况

点开后如下图所示，列出了所有的网卡信息和网络包的情况，具体的网卡信息可以点击后面的【Details】获取。

通过选择网卡前面的复选框，可以选择即将要抓包的网卡，如果选择了某些网卡之后可以选择下面的【Start】按钮开始抓包

如果选择了某些网卡之后，也可以通过点击【Options】按钮设置更多的抓包选项。点击这个按钮的意义相当于直接点击了常用按钮中的第二个按钮（显示抓包选项）

图3-3-2 Wireshark1.8.3网卡列表

（2）第二个按钮：显示抓包选项

点开后如下图所示，列出了比第一个按钮更多的抓包设置选项，第一个按钮侧重于网卡的信息，而第二个按钮侧重于抓包前的设置。这个按钮可以设置以什么模式抓包（混杂模式）、抓包的数据放到哪些文件中、到何时停止抓包（抓了多少个或多长时间）等，最重要的设置是抓包的过滤条件，双击列出的某个网卡的信息，就会弹出过滤条件设置的对话框，（Capture Filter中就是要写抓包规则的地方，也叫做“过滤规则”，写完过滤规则后要记得编译），如下图所示

图3-3-3 Wireshark1.8.3抓包设置选项

图3-3-4 Wireshark1.8.3设置捕获时过滤规则

（3）第三个按钮：开始新的抓包

一般通过前两个按钮的【Start】按钮就已经开始抓包了，所以这个按钮用的比较少

（4）第四个按钮：停止抓包

当你抓完包之后，就是点这个停止了

（5）第五个按钮：清空当前已经抓到的数据包并继续抓包

如果包累计过多的话会对效率有影响，这时可以将前面的包的数据清除（6）文件保存和导入

当抓包结束之后，如果你需要把抓到的数据包保存留给以后分析，那么可以点菜单上的file，然后点Save As保存抓到的数据包（可以保存成多种格式，因此可以被许多其他的软件分析）。或者通过import或open导入数据包文件通过软件加以分析。

Wireshark捕获时过滤数据包

wireshark过滤条件的设置包括捕获时过滤和显示时过滤两种。捕获时过滤是捕获时根据设置的过滤条件捕获符合条件的，从而可以减少捕获的数据包的数量。显示时过滤是根据已捕获的数据包选择那些符合过滤条件的数据包来分析。两者过滤条件的设置格式和设置场合也是不一样的，首先来总结一下捕获时过滤的格式。捕获时过滤的过滤条件的格式如下所示：

图3-3-5 捕获时过滤条件格式

（1）Protocol（协议）：

可能的值：ether、fddi、ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcp and udp

如果没有特别指明是什么协议，则默认使用所有支持的协议。

（2）Direction（方向）：

可能的值：src, dst, src and dst, src or dst

如果没有特别指明来源或目的地，则默认使用“src or dst” 作为关键字。

例如，”host 10.2.2.2″与”src or dst host 10.2.2.2″是一样的。

（3）Host(s)：

可能的值：net, port, host, portrange.

如果没有指定此值，则默认使用”host”关键字。

例如，”src 10.1.1.1″与”src host 10.1.1.1″相同。

（4）Value

和前面host对应的值，比如为port的话value就可以为80，加入为host的话，value就可以为212.112.2.3。

（5）Logical Operations（逻辑运算）：

可能的值：not、and、or

否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至右进行。

例如，

“not tcp port 3128 and tcp port 23″与”(not tcp port 3128) and tcp port 23″相同。

“not tcp port 3128 and tcp port 23″与”not (tcp port 3128 and tcp port 23)”不同。

在书写的时候注意，Protocol要与Host(s)相对应。value是Host(s)的值。当protocol为tcp时说明是传输层的过滤，则Host(s)必须为port，就不能为host、net。如果protocol为ip，则Host(s)必须为host、net，而不能为port。

当host为net时还可以指定netmask，如下例所示：

net 202.115.36.0 mask 255.255.255.0

当host为portrange时用法如下例所示：

src portrange 2000-2500

Wireshark显示时过滤数据包

显示时过滤的过滤条件的格式如下所示：

图3-3-6 捕获时过滤条件格式