Wireshark抓包工具使用教程

1. 抓包环境搭建

关键需要一个集线器。将入口网线连到集线器，再从集线器分出两条线，一条线连接盒端，一条线连接电脑。

硬件上需要准备的完成后，就可以开始使用wireshark抓包工具抓包。

2. 详细抓包教程

2.1 进入wireshark主菜单

 首先启动程序看到主菜单(图1)

 

图1

界面菜单简单介绍如下：

1. 菜单——用于开始操作。

2. 主工具栏——提供快速访问菜单中经常用到的项目的功能。

3. Fiter toolbar/过滤工具栏——提供处理当前显示过滤的方法。

4. Packet List面板——显示打开文件的每个包的摘要。点击面板中的单独条目，包的其他情况将会显示在另外两个面板中。

5. Packet detail面板——显示您在Packet list面板中选择的包的更多详情。

6.Packet bytes面板——显示您在Packet list面板选择的包的数据，以及在Packet details面板高亮显示的字段。

7.状态栏——显示当前程序状态以及捕捉数据的更多详情。

 

主菜单包括以下几个项目:

1. File ——包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark项.

2. Edit ——包括如下项目：查找包，时间参考，标记一个多个包，设置预设参数。（剪切，拷贝，粘贴不能立即执行。）

3. View ——控制捕捉数据的显示方式，包括颜色，字体缩放，将包显示 在分离的窗口，展开或收缩详情面版的地树状节点

4. GO ——包含到指定包的功能。

5. Analyze ——包含处理显示过滤，允许或禁止分析协议，配置用户指定解码和追踪TCP流等功能。

6. Statistics ——包括的菜单项用户显示多个统计窗口，包括关于捕捉包的摘要，协议层次统计等等。

7. Help ——包含一些辅助用户的参考内容。如访问一些基本的帮助文件，支持的协议列表，用户手册。 

2.2 选择PC上要捕获的网卡

点击lnterface List(图2)，wireshark会列出检查到PC上的网络接口(图3)，图上给出了当前的网络包的流量信息、IP地址以及网络硬件信息。点击start则进入抓包页面开始抓包。

图2

图3

2.3 过滤条件设置与抓包

点击Capture Options(图4)进入抓包设置菜单，点图3里的Options也可以进入抓包设置菜单（如图5）。

图4

进入抓包设置菜单(图5)可以设置捕捉过滤器，设置抓包中需要过滤出来的信息。抓包过滤只能在抓包开始之前设置。(一般情况下需设置过滤器来选择性的抓包，只需直接点击start开始抓下当前网络的所有包，省略第五步，待结束后保存即可。后续使用wireshark分析时再设置过滤条件)

点击Filter或者在工具栏上的Filter文本框上输入过滤条件。在输入过程中会进行语法检查，如果输入的格式不正确或不完整，则背景显示为红色。直到您输入合法的表达式，背景会变为绿色。你可以点击下拉列表选择您先前键入的过滤字符。列表会一直保留，即使您重新启动程序。

图5

图6  

2.4 保存文件

抓包完成后，点击停止后并保存。保存后的文件是以.pcap为后缀的文件。保存时，有时候会弹出程序错误提示，不必理会。。