wireshark怎么抓包wireshark抓包详细图文教程

杭州迪普科技有限公司wireshark抓包应用指导说明书拟制雷振华日期2015.4.10 评审人日期签发日期修订记录日期修订版本描述作者2015.4.10 V1.0 初稿完成雷振华目录1 WIRESHARK介绍 (5)2 功能介绍 (5)3 图形界面抓报文 (5)3.1 选择网卡抓报文 (5)3.2 显示报文抓取时间 (7)3.3 WIRESHARK界面布局 (8)3.4 报文过滤条件 (9)3.4.1 常用过滤条件 (10)3.4.2 WIRESHARK EXPRESSION (11)3.4.3 高级过滤条件 (11)3.4.4 WIRESHARK CAPTURE FILTER (14)4 命令行抓报文 (15)4.1 选择网卡 (15)4.2 命令行过滤条件 (17)4.3 常用过滤条件 (17)5 批量转换报文格式 (18)1Wireshark介绍Wireshark 是开源网络包分析工具，支持Windows/Linux/Unix环境。

网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

可以从网站下载最新版本的Wireshark (/download.html 。

Wireshark通常在4-8周内发布一次新版本2功能介绍Wireshark支持图形和命令行两种抓报文方式3图形界面抓报文3.1选择网卡抓报文第一步打开wireshark抓包软件，点击“Capture-->Interfaces”,如图3-1图3-1选择网卡第二步选择抓包的网卡，点击”Strart“开始抓包，这样将抓取流经此网卡的所有报文，并临时保存在内存中。

因此，如果持续抓包将消耗掉系统所有内存。

如图3-2和图3-3图3-2启动抓包图3-3抓包界面图标说明重新抓报文停止抓报文表1-13.2显示报文抓取时间打开wireshark抓包软件，点击“View-->TimeDisplay Format-->Date and Time of Day”，如图3-4和图3-5图3-4效果图：图3-53.3Wireshark界面布局Wireshark界面主要分为三部分（如图3-6），区域一显示抓取的报文，区域二显示选中报文的包头详细信息，区域三显示选中报文的详细信息，默认以十六进制显示。

Wireshar抓包图文教程（精）wireshark是一款抓包软件，比较易用，在平常可以利用它抓包，分析协议或者监控网络，是一个比较好的工具，因为最近在研究这个，所以就写一下教程，方便大家学习。

这里先说Wireshark的启动界面和抓包界面启动界面：抓包界面的启动是按file下的按钮之后会出现这个是网卡的显示，因为我有虚拟机所以会显示虚拟网卡，我们现在抓的是真实网卡上的包所以在以太网卡右边点击start 开始抓包这个就是抓包的界面了（也是主界面）Wireshark主窗口由如下部分组成：1. 菜单——用于开始操作。

2. 主工具栏——提供快速访问菜单中经常用到的项目的功能。

3. Fiter toolbar/过滤工具栏——提供处理当前显示过滤得方法。

4. Packet List面板——显示打开文件的每个包的摘要。

点击面板中的单独条目，包的其他情况将会显示在另外两个面板中。

5. Packet detail面板——显示您在Packet list面板中选择的包的更多详情。

6. Packet bytes面板——显示您在Packet list面板选择的包的数据，以及在Packet details面板高亮显示的字段。

7. 状态栏——显示当前程序状态以及捕捉数据的更多详情。

1.菜单栏主菜单包括以下几个项目:File ——包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。

以及退出Wireshark项.Edit ——包括如下项目：查找包，时间参考，标记一个多个包，设置预设参数。

（剪切，拷贝，粘贴不能立即执行。

）View ——控制捕捉数据的显示方式，包括颜色，字体缩放，将包显示在分离的窗口，展开或收缩详情面版的地树状节点GO ——包含到指定包的功能。

Analyze ——包含处理显示过滤，允许或禁止分析协议，配置用户指定解码和追踪TCP流等功能。

Statistics ——包括的菜单项用户显示多个统计窗口，包括关于捕捉包的摘要，协议层次统计等等。

以太帧和ARP包协议分析实验一、目的1、理解以太帧格式2、理解ARP协议格式和ARP 协议的工作原理二、实验类型验证类实验三、实验步骤一：运行wireshark开始捕获数据包，如图所示点击第二行的start开始捕获数据包。

启动界面：抓包界面的启动是按file下的按钮（或capture下的interfaces）之后会出现这个是网卡的显示，因为我有虚拟机所以会显示虚拟网卡，我们现在抓的是真实网卡上的包所以在以太网卡右边点击start 开始抓包。

（捕捉本地连接对应的网卡，可用ipconfig/all 查看）二：几分钟后就捕获到许多的数据包了，主界面如图所示：如上图所示，可看到很多捕获的数据。

第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是数据包的信息。

选中第一个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三部分。

上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据。

三：开始分析数据1.打开“命令提示符”窗口，使用“arp -a”命令查看本地计算机ARP高速缓存。

2.使用“arp -d”命令清除本地计算机ARP高速缓存，再使用“arp -a”命令查看。

此时，本地计算机ARP高速缓存为空。

3.在下图中Filter后面的编辑框中输入：arp（注意是小写），然后回车或者点击“Apply”按钮将计算机与数据设备相连（3928或路由器），参见静态路由配置。

3.此时，网络协议分析软件开始捕获数据，在“命令提示符”窗口中PING同一子网中的任意主机。

（计算机Aping计算机B）因为PING命令的参数为IP地址，因此使用PING命令前，需要使用ARP机制将IP地址转换为MAC地址，这个过程用户是无法感知的。

因为我们在使用PING命令前已经开始网络数据包捕获，因此，此时网络协议分析软件将捕获到ARP解析数据包。

Wireshark使用教程详解带实例Wireshark是一款开源网络分析工具，它能够捕获和分析网络流量，使用户能够深入了解网络通信过程中发生的问题和异常。

本文将详细介绍Wireshark的使用方法，并通过实例演示其在网络故障排除和网络性能优化中的应用。

一、Wireshark安装和准备工作二、捕获和过滤数据包Wireshark具有强大的过滤功能，可以根据多种条件过滤所捕获的数据包，以减少不必要的数据包显示。

在捕获界面的过滤栏中输入过滤表达式，如“ip.addr==192.168.0.1”以显示所有源或目标IP地址为192.168.0.1的数据包。

三、分析数据包1. 分析摘要面板（Summary）摘要面板显示了捕获数据包的概要信息，如协议、源和目标地址、数据包大小等。

通过查看该面板可以迅速了解网络通信中所使用的协议和各个数据包的交互情况。

2. 分层面板（Packet List）分层面板以树状结构显示了选定数据包的详细信息。

它将数据包分为各个协议层次，并展开显示每个层次的具体字段信息。

用户可以展开或折叠每个协议层次，以查看其所包含的字段详细信息。

3. 字节流面板（Bytes）字节流面板以十六进制和ASCII码显示了选定数据包的原始数据内容。

用户可以通过该面板查看数据包的详细内容，并进一步分析其中的问题。

4. 统计面板（Statistics）统计面板提供了关于捕获数据包的各种统计信息。

用户可以查看每个协议的数据包数量、平均包大小、传输速率等。

此外，Wireshark还提供了更高级的统计功能，如流量图表、分析数据包时间间隔等。

四、实例演示为了更好地说明Wireshark的使用方法，我们将以现实应用场景为例进行实例演示。

假设我们在一个企业内部网络中发现了网络延迟问题，我们希望通过Wireshark来定位问题的根源。

首先打开Wireshark并选择要监听的网络接口，然后开始捕获数据包。

在捕获过程中，我们注意到在与一些服务器的通信中出现了较长的延迟。

机房侧第一步安装Wireshark抓包软件。

抓包通用IP：192.254.1.16 ，然后请产品负责人开启该基站的Debug口。

第二步修改IP为192.254.1.25、第三步连接成功以后做ping测试。

打开命令指示符：输入指令：Ping 192.254.1.16 –t若ping值正常，则可以打开Wireshark软件继续下一步操作；若ping值异常，则需要查找原因，直到ping值正常，可以确定已经成功连接基站时，则可以打开Wireshark软件继续下一步操作。

第四步打开Wireshark软件查看Packets，如果有数值则在那一行最前面点勾，然后单击Options，继续下一步。

将Buffer size更改为10，更改完点击OK即可。

核查更改后的Buffer数值是否跟更改的数值一致。

如果不一致需要重新设置。

更改Next file every 数值为200、或500均可。

（数值设置为200，软件运行会稳定些）。

依测试时间，测试基站的下载速率而定。

设置完成后点击Browse，选择保存位置。

更改保存位置，命名为基站小区名+抓包数据类型（上传或下载）+日期+时段+测试地点。

点击OK 后联系空口侧同事同时点击Start开始测试。

点击红色按钮结束此次测试。

点击File-Save as…保存到设置的文件夹里。

空口侧第一步连接设备打开CXT 寻找要测试基站小区下SINR较高的地点。

第二步确定终端连接电脑正常打开Wireshark。

具体操作请看机房侧，第四步软件操作说明。

开始之前打开服务器做数据业务（上传Or下载）。

注意事项：1、测试一般在3分钟左右/次。

2、测试上传和下载业务各3次，或3次以上，确保其中有LOG可以正常使用。

3、测试时可以实时看文件大小，如果文件大小正常增长，则正常，如果文件大小没有变化，则此次测试失败，重新测试。

4、结束后将测试的LOG保存到网盘内（标注好基站名、时间）、，方便解析人员查找LOG。

1.打开Wireshark：单击开始\所有程序\Wireshark。

2.启动抓包：（1）Capture\Interfaces…图1. 接口（2）选择有分组传送的网络接口。

如图2所示，选中小方框后框内出现“√”。

点击“Start”开始抓包。

图2. Start3.协议过滤：现在使用SIP终端打电话，Wireshark会抓取SIP报文。

这里，我们可以看到多种协议的IP报文，如图3所示。

图3. 抓取的多种报文此时可以采用过滤功能，只显示自己关心的报文。

在Filter:处输入sip，点击右面的“Apply”，结果如图4所示。

这就是从本计算机网口上跟踪到的SIP消息，除了会话建立、释放的消息，还有其他夹杂在其中的其他SIP消息。

图4. SIP消息4.查看消息详细内容双击图4中的某条消息，可以看到这条消息的详细解释。

消息是分层解释的，点击每层前面的“＋”号可展开具体内容。

在这里可以仔细分析每条消息及其各字段的含义。

如图5所示。

图5. 查看消息详细解释5.绘制消息流程图选择“Statistics\Flow Graph…”可以绘出跟踪到消息的流程图。

注意：查看一下绘制的消息流程，是不是一次完整的呼叫过程。

SIP消息抓包应该是一次完整的SIP呼叫流程，从INVITE开始，到最后BYE-200OK。

设置方法如图6所示，绘制图形如图7所示。

图6.1 选择绘图功能图6.2 绘图选项图7. 绘制的流程图6.保存和打开流程图在图7中，点击“Save as”按钮，可以保存SIP消息流程图，自己定义文件存放的路径和名称。

之后要打开该流程文件，可以使用“记事本”，以文本文件方式打开。

7.退出Wireshark首先停止跟踪，即Capture\Stop。

如图8所示。

图8. 停止抓包然后退出Wireshark，即File\Quit。

如图9所示。

图9. 退出Wireshark。

wireshark抓包教程Wireshark 抓包教程：1. 下载安装 Wireshark：从官方网站下载最新版本的 Wireshark 并安装在您的计算机上。

2. 启动 Wireshark：打开 Wireshark 软件，您将看到一个主界面。

3. 选择网络接口：在 Wireshark 左上角的"捕获选项"中，选择要抓取数据包的网络接口。

如果您使用有线连接，选择相应的以太网接口；如果您使用无线网络，选择无线网卡接口。

4. 开始捕获数据包：点击"开始"按钮来开始捕获数据包。

Wireshark 将开始监听选定的网络接口上的数据传输。

5. 分析捕获的数据包：在捕获数据包的过程中，Wireshark 将显示捕获的数据包详细信息。

您可以使用过滤器来筛选显示特定协议的数据包。

6. 分析数据包内容：双击某个数据包，Wireshark 将显示详细的包内容，包括源地址、目的地址、协议类型等信息。

您还可以查看数据包的各个字段。

7. 导出数据包：如果您需要将捕获的数据包保存到本地供后续分析或分享，可以使用"文件"菜单中的"导出"选项。

8. 终止捕获数据包：点击"停止"按钮来终止捕获数据包。

停止捕获后，Wireshark 将显示捕获过程的统计信息，如捕获的数据包数量、捕获的数据包大小等。

9. 清除捕获数据包：在捕获数据包后，如果您想清空捕获的数据包列表，可以选择"捕获"菜单中的"清除列表"。

以上就是使用 Wireshark 进行抓包的基本教程。

通过分析捕获的数据包，您可以深入了解网络通信过程，并解决网络故障或安全问题。

第 1 章介绍1.1. 什么是WiresharkWireshark 是网络包分析工具。

网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信的电量的电度表一样。

（当然比那个更高级）过去的此类工具要么是过于昂贵，要么是属于某人私有，或者是二者兼顾。

Wireshark出现以后，这种现状得以改变。

Wireshark可能算得上是今天能使用的最好的开元网络分析软件。

1.1.1. 主要应用下面是Wireshark一些应用的举例：∙网络管理员用来解决网络问题∙网络安全工程师用来检测安全隐患∙开发人员用来测试协议执行情况∙用来学习网络协议除了上面提到的，Wireshark还可以用在其它许多场合。

1.1.2. 特性∙支持UNIX和Windows平台∙在接口实时捕捉包∙能详细显示包的详细协议信息∙可以打开/保存捕捉的包∙可以导入导出其他捕捉程序支持的包数据格式∙可以通过多种方式过滤包∙多种方式查找包∙通过过滤以多种色彩显示包∙创建多种统计分析∙…还有许多不管怎么说，要想真正了解它的强大，您还得使用它才行图 1.1. Wireshark捕捉包并允许您检视其内1.1.3. 捕捉多种网络接口Wireshark 可以捕捉多种网络接口类型的包，哪怕是无线局域网接口。

想了解支持的所有网络接口类型，可以在我们的网站上找到/CaptureSetup/NetworkMedia.1.1.4. 支持多种其它程序捕捉的文件Wireshark可以打开多种网络分析软件捕捉的包，详见???1.1.5. 支持多格式输出Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式，详见???1.1.6. 对多种协议解码提供支持可以支持许多协议的解码(在Wireshark中可能被称为解剖)???1.1.7. 开源软件Wireshark是开源软件项目，用GPL协议发行。

抓包操作步骤：
选择Capture Options:
在第一个红框内选择网卡，可以看到IP信息，只用选择本地连接的那张网卡。

然后选择start
上图红框第一步分(显示网卡通信数据包信息)
上图红框第二部分(总共通过网卡的数据包总数)
测试网络环路(下联傻瓜交换机)：
1.将上联网线接到笔记本
2.将笔记本网卡”本地连接”地址修改为上联地址如:172.30.105.254
3.打开抓包工具抓取”本地连接”数据
判断:
1.如数据包信息有大量重复数据包快速刷屏如协议为”spanning tree”的数据包则网络有环
路
2.如数据包总数大量增长：每秒上千，或笔记本卡死，则网络有环路
解决：
在抓包过程中，每隔一段时间(10秒左右)拔除傻瓜交换机一些网线(1-4根)，待抓包工具显示正常(无大量重复数据包)，则可定位出问题网口，拔除问题网口网线回复其他接口。

wireshark使用教程怎么抓包Wireshark是一款功能强大的网络抓包分析工具，它可以帮助用户捕获、分析和解释网络数据包。

下面是一个详细的Wireshark使用教程，包括如何抓包、分析捕获的数据包和一些常用的功能介绍。

一、Wireshark的安装与启动：1. 下载Wireshark安装包并安装。

2. 打开Wireshark应用程序。

二、捕获数据包：1. 在Wireshark界面中选择网络接口。

2. 点击“开始”按钮开始抓取数据包。

3. 在抓取过程中，Wireshark会显示捕获到的数据包列表。

三、数据包列表的解析：1. 列表中的每个数据包都包含了详细的信息，如源IP地址、目标IP地址、协议类型等。

2. 可以通过点击一个数据包来查看该数据包的详细信息。

四、过滤数据包：1. 可以通过在过滤框中输入过滤条件来筛选数据包。

2. 例如，输入“ip.addr==192.168.1.1”可以只显示与指定IP地址有关的数据包。

五、数据包信息的解析：1. 在数据包详细信息窗口中，可以查看每个数据包的各个字段的值。

2. 可以展开各个协议的字段，以查看更详细的信息。

六、统计功能的使用：1. Wireshark提供了各种统计功能，可以帮助用户分析捕获到的数据包。

2. 可以使用统计菜单中的功能，如协议统计、I/O图表等。

七、导出数据包：1. 可以将捕获到的数据包导出为不同的格式，如文本文件、CSV文件等。

2. 可以通过点击“文件”菜单中的“导出数据包”来进行导出操作。

八、详细配置：1. 通过点击“编辑”菜单中的“首选项”来进行详细配置。

2. 可以设置抓包过滤器、协议偏好等。

九、使用过滤器：1. 可以使用Wireshark提供的过滤器来查找特定类型的数据包。

2. 例如，可以使用“http”过滤器来查找HTTP协议相关的数据包。

十、常用捕包场景：1. 捕获HTTP请求与响应。

2. 捕获TCP/IP连接的建立与断开。

3. 捕获DNS查询与响应。

w i r e s h a r k怎么抓包w i r e s h a r k抓包详细图文教程This model paper was revised by the Standardization Office on December 10, 2020wireshark怎么抓包、wireshark抓包详细图文教程wireshark是非常流行的网络封包分析软件，功能十分强大。

可以截取各种网络封包，显示网络封包的详细信息。

使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。

为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP,HTTPS 还是用Fiddler,其他协议比如TCP,UDP 就用wireshark.wireshark 开始抓包开始界面wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。

然后点击"Start"按钮, 开始抓包Wireshark 窗口介绍WireShark 主要分为这几个界面1. Display Filter(显示过滤器)，用于过滤2. Packet List Pane(封包列表)，显示捕获到的封包，有源地址和目标地址，端口号。

颜色不同，代表3. Packet Details Pane(封包详细信息), 显示封包中的字段4. Dissector Pane(16进制数据)5. Miscellanous(地址栏，杂项)使用过滤是非常重要的，初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。

WIRESHARK 抓包教程
一、网络结构
这个结构图是抓AC 的LAN 口数据，也就是AP 到AC 之间的数据
这个结构图是抓AC 的W AN 口数据， 也就是AC 上行数据
城域网
AC 交换机
AP
PC
镜象端口
被镜象端口
AC 交换机 AP
PC
镜象端口
二、交换机端口镜象
见PPT
三、wireshark抓包软件操作流程
1、打开wireshark程序，点击右上角的图标，如下图所示。

列出可以可以抓取数据的网卡
2、点击后，会弹出可以选择的网卡，只需要点击连接镜象端口的网卡后面的start键，即可开始抓包
正在抓数据包
3、再次点击右上角可以列出网卡的小图标，出现界面后，点击stop，停止抓包
4、关闭抓包后，返回原来的窗口就可以查看相关的报文信息。

5、报文的保存，点击file，选择save，输入文件名，就可以保存报文信息。

但是这样保存下来的文件只有装了wireshark软件的电脑才能够打开该文件
而选择save as，可以选择保存的类型，可以根据情况自己选择合适的格式进行保存。

wireshark抓包简明教程wireshark抓包简明教程 (1)1、找到需要抓包的接口 (2)2、wireshark窗口说明 (3)3、过滤窗口的使用 (3)3.1 按协议过滤 (3)3.2 按地址过滤 (4)3.3 按tcp或udp端口过滤 (5)3.4 过滤条件组合 (6)1、找到需要抓包的接口打开wireshark软件，找到相应的网络接口，可能存在多个连接，此时双击某个网络连接看起IP地址，如与上张图的地址一样，即要查看的接口。

点击ok回到之前窗口，选中接口，点击Start开始抓包。

2、wireshark窗口说明窗口1是包列表，可以看到每个包的源、目的地址、协议类型、长度和信息等。

窗口2是点选某条包的详细信息，详细给出该包的mac层、IP层、传输层和应用层信息。

窗口3是包内容的文本信息及字节信息。

窗口4是过滤窗口，可以过滤出需要的内容。

3、过滤窗口的使用3.1 按协议过滤在过滤窗口内输入协议类型，回车（或点apply），可过滤对应类型的包。

若不许要过滤，再点clear清除过滤条件即可。

下图以http为例。

3.2 按地址过滤ip.addr：源或者目的地址过滤ip.src：源地址过滤ip.dst：目的地址过滤可以在过滤窗口直接输入，也可点击Expression，可以看到所有过滤条件列表，选择需要的过滤条件即可。

3.3 按tcp或udp端口过滤以tcp源端口80为例，如下图所示。

3.4 过滤条件组合与：&&或：||举例，要查看百度或网易发过来的http消息。

用ping或nslookup查看百度地址为111.13.100.92，网易地址为112.25.35.62，按下面的图进行过滤。

Wireshark网络抓包与分析手册第一章：引言Wireshark是一款强大的网络抓包工具，它可以帮助网络管理员和分析师深入了解和分析网络流量。

本手册将详细介绍Wireshark 的基本原理、使用方法和常见功能，以帮助初学者快速上手，并为专业用户提供一些进阶技巧。

第二章：Wireshark的安装与配置2.1 下载与安装Wireshark2.2 设置抓包接口2.3 配置抓包过滤器2.4 配置显示过滤器第三章：Wireshark工作流程与基本原理3.1 抓包原理与流程3.2 数据包分析3.3 报文解析第四章：抓包与分析常用技巧4.1 抓包与保存4.2 实时捕获与停止捕获4.3 导入与导出数据4.4 分组展示与隐藏4.5 过滤与搜索数据包4.6 统计与图形分析第五章：网络协议分析与故障排查5.1 TCP/IP协议分析5.2 HTTP协议分析5.3 DNS协议分析5.4 ICMP协议分析5.5 ARP协议分析5.6 VLAN与VLAN跳跃5.7 网络故障排查技巧第六章：流量分析与安全性检测6.1 流量分析方法与技巧6.2 检测网络攻击6.3 检测网络异常流量6.4 识别网络安全漏洞6.5 防御与应对策略第七章：Wireshark高级功能与扩展7.1 使用过滤器与表达式7.2 自定义显示列与颜色7.3 自定义协议解析器7.4 使用统计插件与扩展7.5 自动化与脚本扩展第八章：案例分析与实战应用8.1 企业内部网络问题排查8.2 网络性能优化分析8.3 网络流量监测与分析8.4 恶意软件分析与检测8.5 无线网络抓包与分析第九章：附录9.1 Wireshark常用命令与快捷键9.2 Wireshark配置文件说明9.3 Wireshark故障排除与常见问题解决通过本手册的学习，读者将能够掌握Wireshark的使用技巧，能够熟练进行网络抓包和数据包分析。

同时，读者还将学会如何利用Wireshark进行网络故障排查、安全性检测和流量分析等专业应用。