快速掌握Wireshark抓包工具

快速掌握Wireshark抓包工具

wireshark是当前使用的比较多的一款抓包软件，下面初步讲解下wireshark的使用方法，如果想要真正掌握wireshark则需要深入的去学习和使用它。

打开wireshark，进入wireshark的主界面。

主界面主要包括7个大的模块，其中最主要用到3个模块，那就是过滤规则，数据包详细信息和16进制数据。

点击捕获按钮，在弹出的窗口选择想要抓取的网络接口，然后点击开始，则wireshark就开始抓取该网络接口所有接受和发送的数据包。

在数据包抓取过程中，如果抓取到了想要的数据包则可以点击"停止捕获"按钮，停止抓取数据包；如果没有抓取到想要的数据包，但是当前所抓取的数据包太多不利于后期分析，则可以点击"重新开始捕获"按钮，重新开始抓取数据。

当抓取到了数据后，停止捕获按钮，然后通过过滤规则将所需要的数据包过滤出来。

常用的过滤规则：

eth.src == mac 源mac地址

eth.dst == mac 目的mac地址

eth.addr == mac mac地址（不区分源和目的）

ip.src == x.x.x.x 源ip地址

ip.dst == x.x.x.x 目的ip地址

ip.addr == x.x.x.x ip地址(不区分源和目的)

tcp/udp.srcport == 端口号 tcp/udp的源端口号为

tcp/udp.dstport == 端口号 tcp/udp的目的端口号为

tcp/udp.port == 端口号 tcp/udp的端口号为(不区分源和目的)

http.request.method == “GET” http请求方法为get

http.request.method == "POST" http请求昂发为post

更详细的过滤规则请百度"wireshark过滤规则"，进行相应的查找和学习。

当过滤出对应的数据包后，点击某一条数据可以在数据详细信息中看到该数据的详细信息，包括：网络层的(源mac、目的mac),数据链路层的(源ip、目的ip)，传输层(TCP/UDP)以及应用层相关（http、DNS等）；然后对该数据包进行分析。

对数据tcp/udp等数据进行分析时，可以通过导航栏中的分析->追踪数据流->tcp流等来过滤出该tcp交互的所有数据包，进行分析

对于抓取到的数据包，如果觉得很有代表性或者当前没有时间进行分析，则将该数据包保存，以供后期再进行详细的分析。