wireshark怎么抓包 wireshark抓包详细图文教程

Wireshark是一款广受好评的网络数据包分析工具，功能强大。它能够捕获各种网络数据包，并展示详细信息。用户若想熟练使用Wireshark，必须熟悉网络协议，否则将难以理解其内容。

1、 启动画面

2、 Wireshark用于捕获机器上指定网卡的网络数据包。如果您的设备有多块网卡，请先选择其中一块进行捕获。

3、 点击Capture->Interfaces，弹出对话框后，选择正确的网卡，再点击Start按钮，开始捕获数据包。

4、 Wireshark窗口功能介绍

5、 WireShark 主要由以下几个界面组成。

6、 显示过滤器（Display Filter），用于筛选特定条件的数据内容。

7、 封包列表面板显示捕获的封包信息，包括源地址、目标地址和端口号。不同颜色表示不同类型或状态的封包数据。

8、 3. 数据包详细信息窗格，用于显示数据包中的各个字段内容。

9、 解码器面板（16进制数据）

10、 地址栏及其他杂项功能汇总如下：

11、 过滤功能对初学者至关重要。使用Wireshark时，会面临大量冗余数据，几万条记录中很难定位所需信息，容易感到迷茫，因此合理运用过滤可事半功倍。

12、 过滤器能助我们在海量数据里快速定位所需信息。

13、 滤波器分两种类型。

14、 一种是显示过滤器，位于主界面，用于在已捕获的记录中筛选出所需记录。

15、 一种是捕获过滤器，用于筛选捕获的数据包，避免记录过多。可在Capture -> Capture Filters中设置。

16、 保留筛选

17、 在Filter栏填写表达式后，点击Save按钮命名，例如Filter 102。

18、 在Filter栏中新增了一个名为Filter 102的按钮。

19、 筛选条件的规则

20、 表达式规则如下

21、 协议筛选净化

22、 例如，TCP仅展示TCP协议相关内容。

23、 2. 网络协议过滤

24、 例如，ip.src == 192.168.1.102 表示源地址为 192.168.1.102 的数据包。

25、 目标地址是192.168.1.102，数据包的目的地为该IP。

26、 端口筛选功能

27、 端口80的TCP流量

28、 仅显示TCP协议中源端口为80的数据包。

29、 HTTP模式过滤

30、 仅展示http.request.method为GET的情况，即只显示使用HTTP GET方法的请求。

31、 逻辑运算符包括AND和OR。

32、 常用的筛选条件表达式

33、 数据包列表面板（Packet List Pane）显示捕获的数据包概要信息。

34、 封包列表面板显示编号、时间戳、源地址、目标地址、协议、长度和信息，不同协议以颜色区分展示。

35、 你也能更改显示颜色的规则，路径为：查看（View）->着色规则（Coloring Rules）。

36、 封包详情面板展示了捕获数据包的具体信息内容。

37、 这个面板最为关键，用于查看协议中的每个字段。

38、 各行各列数据展示

39、 物理层数据帧的基本情况概述如下：

40、 以太网帧结构：数据链路层中Ethernet II帧头信息解析。

41、 互联网协议第四版：网络层IP数据包头部信息结构说明

42、 传输控制协议：这是传输层协议，数据段头部包含相关信息，即TCP协议。

43、 传输控制协议的数据详情

44、 通过下图可知，Wireshark抓取的TCP包各字段清晰可见。

45、 看到这里，基本已对Wireshark有初步认识，接下来我们来看一个TCP三次握手的实例。

46、 三次握手的过程是

47、 这幅图我已经反复看过多次，现在让我们借助Wireshark来实际分析一下三次握手的具体过程。

48、 启动Wireshark，打开浏览器，输入网址：http://www.cr173.com，进行网络数据抓包分析。

49、 在Wireshark中输入HTTP过滤条件，找到并选中GET /tankxiao HTTP/1.1这条记录，右键选择Follow TCP Stream以追踪TCP数据流。

50、 这样做的目的是获取浏览器访问网站的数据包，结果所示。

51、 从图中可以看出，Wireshark捕获了三次握手的三个数据包，第四个才是HTTP包，这表明HTTP确实基于TCP建立连接。

52、 首个握手数据包

53、 客户端发送一个TCP数据包，其中标志位为SYN，序列号为0，表示请求建立连接。所示。

54、 第二次握手的数据包

55、 服务器返回确认包，标志位为SYN和ACK。将确认序号设置为客户端ISN加1，即0+1=1，所示。这表示服务器已准备好建立连接。

56、 建立连接的第三个数据包

57、 客户端再次发送确认包(ACK)，此时SYN标志位为0，ACK标志位为1。将服务器发来的ACK序号字段加1后，置于确认字段发送给对方，同时在数据段放置ISN加1的值，所示。

58、 经过TCP三次握手，成功建立连接。