几年前写的一个wireshark基础培训,当时主要是面向技术支持人员,使其在工地现场可以使用wireshark做一些问题的初步分析。
WireShark基础培训
什么是WireShark
WireShark是一个网络协议分析器。主要作用是捕获网络包,显示包详细信息。
使用WireShark的目的:
通过各种方法的灵活组合,加上对业务流程的了解,可以帮助大家很好的分析、定位问题。
WireShark初步使用
以下以wireshark1.6.1版本为例说明使用。软件路径
\\10.1.2.172\e$\组织标准工作环境\开发工具\wireshark-win32-1.6.1.exe
开始截包
1 打开软件
2 点击菜单“Capture”->“Interfaces”。出现如下图:
3 选择要进行截包的网络接口,然后点击其右侧的Start。出现如下图
注意:当存在多个网卡,或安装了虚拟机存在虚拟网络接口,要正确选择捕获的网络接口。
停止捕获
点击菜单“Capture”->“Stop” 或 点击工具栏的按钮。
保存截包
点击菜单“File”->“Save As”出现如下框
注意:
这里有两个选项:Captured和Displayed。
Captured指捕获的所有包。
Displayed指过滤后显示出来的包。
如果Captured包的个数太大,只关心显示出来的内容,则选择Displayed。
包过滤
包过滤是过滤出你所关心的包。可以在截包的过程中执行,也可以在停止截包后执行。
操作步骤:
在Filter框中输入过滤语句,点击Apply。如下图
常用的过滤语句
ip.addr==
如:ip.addr==10.14.1.53。意思是只显示IP地址为10.14.1.53的包,包括源地址是10.14.1.53的包,或目的地址是10.14.1.53的包。
ip.src==
如:ip.src==10.14.1.53。意