wireshark使用教程

第一章 介绍

Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包， 并尝试显示包的尽可能详细的情况。主要用于：
网络管理员用来解决网络问题
开发人员用来测试协议执行情况
用来学习网络协议

第二章 用户界面

大多数打开捕捉包以后的界面都是这样子（如何捕捉/打开包文件随后提到）。

1. 菜单栏：用于调试、配置
2. 工具栏：常用功能的快捷方式
3. 过滤栏：指定过滤条件，过滤数据包
4. 数据包列表：核心区域，每一行就是一个数据包
5. 数据包详情：数据包的详细数据
6. 数据包字节：数据包对应的字节流，二进制

第三章 实时捕捉数据包

3.1. 快速抓包

打开 Wireshark 后，会直接进入「网卡选择界面」，WLAN 是我连接无线的网卡，我们抓一下这个网卡的流量，双击网卡名，自动开始抓包。

点击左上角的「红色按钮」，可以停止抓包

点击左上角的【绿色按钮】，可以清空抓包列表
点击右上角的「文件」，选择「保存」，可以保存抓包的数据。也可以直接点击工具栏的保存按钮

3.2. 基础设置

1. 调整界面大小

工具栏中的三个「放大镜」图标，可以调整主界面数据的大小。从左到右依次是：放大、缩小、还原默认大小。

2. 设置显示列

数据包列表是最常用的模块之一，列表中有一些默认显示的列，我们可以添加、删除、修改显示的列。
1）添加显示列：左键选中想要添加为列的字段，右键选择「应用为列」。添加为列的字段会在数据列表中显示。

2）隐藏显示列：在显示列的任意位置右键，取消列名的「勾选」，即可隐藏显示列。

3）删除显示列：右键需要删除的列，点击最下方的「Remove this Column」 。

3. 设置时间

数据包列表栏的时间这一列，默认显示格式看起来很不方便，我们可以调整时间的显示格式。
点击工具栏的「视图」，选择「时间显示格式」，设置你喜欢的格式。

4. 标记数据包

选中需要标记的数据包，右键选择最上面的「标记/取消标记」。

5. 导出数据包

1）导出单个数据包：选中数据包，点击左上角的「文件」，点击「导出特定分组」。在「导出分组界面」，选择第二个 「Selected packets only」，只保存选中的数据包。

2）导出多个数据包：我们将需要导出的数据包都标记起来，点击左上角的「文件」，点击「导出特定分组」。在「导出分组界面」，勾选第三个 「Marked packets only」，只导出标记的数据包。

6. 开启混杂模式

局域网的所有流量都会发送给我们的电脑，默认情况下，我们的电脑只会对自己mac的流量进行解包，而丢弃其他mac的数据包。
开启混杂模式后，我们就可以解析其他mac的数据包，因此，我们使用Wireshark时，通常都会开启混杂模式。
点击菜单栏的「捕获」按钮，点击「选项」。勾选 在所有接口上使用混杂模式。

3.3. 过滤器操作

Wireshark提供了两个过滤器：抓包过滤器 和 显示过滤器。
抓包过滤器：重点在动作，需要的包我才抓，不需要的我就不抓。
显示过滤器：重点在数据的展示，包已经抓了，只是不显示出来。

1. 抓包过滤器

停止抓包的前提下，点击工具栏的捕获按钮，点击选项。输入过滤语句并点击开始

2. 显示过滤器

在过滤栏输入过滤语句，修改后立即生效。

3. 常用过滤语句：

arp 显示 ARP 流量
arp.src.hw_mac == 02:c8:a1:89:ae:d8 显示从 MAC 地址为02:c8:a1:89:ae:d8的设备发送的 ARP 协议帧
arp.src.proto_ipv4 == 192.168.3.29 显示从 IP 地址为192.168.3.29的设备发送的 ARP 协议帧

eth 显示以太网流量：
ip.src == 192.168.3.29 显示源 IP 地址：
ip.dst == 192.168.3.29 显示目标 IP 地址：
ip.addr == 192.168.3.29 显示指定 IP 地址，不论其是源ip还是目的ip：
ipv6 显示 IPv6 流量：
Tcp 查看 TCP 流量：
tcp.srcport == 443 tcp 源端口 443 的流量：
tcp.dstport == 443 tcp 目的端口 443 的流量：
tcp.port443 tcp 指定端口443的流量，不论其是源端口还是目的端口：
Udp 查看 UDP 流量：
udp.srcport == 5353 udp 源端口 5353 的流量：
udp.dstport == 5353 udp 目的端口 5353 的流量：
udp.port5353 udp 指定端口5353的流量，不论其是源端口还是目的端口：
http 查看 HTTP 流量：
http.request.method == “POST” 查看 HTTP POST请求 流量：
http.request.method == “GET” 查看 HTTP GET请求 流量：
dns 查看所有 DNS 请求和响应：

3.4. 抓包信息分析

No代表序号，也就是第几个被捕获的数据包
time表示相对捕获时间
source代表的是数据包的源地址
destination表示数据包的目的地址
protocol是解析出数据包的协议类型
info是摘要的数据包信息

Frame 13：物理层数据帧，编号为13，数据帧就是我们抓到的这个包发送的数据，508字节，代表发送数据的大小有508字节的大小。
Ethernet II, Src: 00:9f:b3:86:06:71 (00:9f:b3:86:06:71), Dst: Broadcast (ff:ff:ff:ff:ff:ff)：数据链路层，源目mac地址分别为00:9f:b3:86:06:71和ff:ff:ff:ff:ff:ff。目的地址是ff ff ff ff ff ff说明该帧是广播帧
Internet Protocol Version 4, Src: 192.168.1.128, Dst: 255.255.255.255：网络层，源目ip地址分别为 192.168.1.128和 255.255.255.255。
User Datagram Protocol, Src Port: 3030, Dst Port: 3001：传输层，UCP协议，源目端口号分别为3030和3001.
Hypertext Transfer Protocol: 应用层