Wireshark簡介

Wireshark（前稱Ethereal）是一個網(wǎng)絡封包分析軟件。 網(wǎng)絡封包分析軟件的功能是截取網(wǎng)絡封包，并盡可能顯示出最為詳細的網(wǎng)絡封包資料。 Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進行數(shù)據(jù)報文交換。

在過去，網(wǎng)絡封包分析軟件是非常昂貴的，或是專門屬于盈利用的軟件。 Ethereal的出現(xiàn)改變了這一切。 在GNUGPL通用許可證的保障范圍底下，使用者可以通過免費的途徑取得軟件與其源代碼，并擁有針對其源代碼修改及客制化的權利。 Ethereal是全世界最廣泛的網(wǎng)絡封包分析軟件之一。

Wireshark抓包示例

1、下載并且安裝好Wireshark后打開軟件（本文以Wireshark Version 3.4.9 介紹）打開后我們可以看到，Wireshark可以自動識別出電腦上面的網(wǎng)卡（包括虛擬網(wǎng)卡），這里我們雙擊我們需要抓包的網(wǎng)卡。

2、雙擊進入此界面后，Wireshark已經(jīng)自動開始了抓包過程，如果網(wǎng)卡在與其他網(wǎng)絡設備通訊，我們就能看到如下圖所示的各種網(wǎng)絡協(xié)議報文。

3、平 www.ebyte.com

4、由于Wireshark抓取的是網(wǎng)卡物理層的數(shù)據(jù)，所以所有通過該網(wǎng)卡收發(fā)的數(shù)據(jù)都會被Wireshark抓取，這就讓我們從海量數(shù)據(jù)中找到我們需要關注的網(wǎng)絡包就如同大海撈針，但是Wireshark提供了強大的數(shù)據(jù)包過濾功能，我們就能比較輕松地找到對應的包。 比如上面我已經(jīng)ping了我司官網(wǎng)，現(xiàn)在Wireshark已經(jīng)抓取了兩萬多條報文，只要通過在過濾器輸入”ip.addr == 101.37.40.78 && icmp“就能找到對應的報文。

TCP報文抓包分析示例

1、Wireshark的抓包

開啟Wireshark的抓包功能后，通過電腦連接到本地搭建的回顯服務器，電腦上面的客戶端發(fā)送了一段數(shù)據(jù)到服務器，服務器回傳到電腦上的客戶端。

2、過濾報文

此時我們在Wireshark的過濾欄中輸入“ip.addr == 192.168.3.6”就能過濾出網(wǎng)絡報文中基于IP協(xié)議簇，且IP地址（源地址或目標地址）為192.168.3.6的網(wǎng)絡報文。 如下圖所示：

Wireshark在封包展示界面中根據(jù)網(wǎng)絡協(xié)議模型，展示出了各層協(xié)議的重要信息如下圖所示：

Frame：表示物理層

Ethernet II：數(shù)據(jù)鏈路層信息，包括源主機MAC，目標主機MAC與協(xié)議類型如IPV4(0x0800)

Internet Protocol Version 4：IP協(xié)議幀信息，包括源主機IP地址，目標主機IP地址等

Transmission Control Protocol：TCP協(xié)議相關信息，包括源端口與目標端口號，接收窗口大小等

3、TCP握手過程

Wireshark常用過濾器設置

1、Wireshark中的邏輯運算符

1.1 比較運算符如：== （等于）、！ =（不等于） 、>（大于） 、<（小于） 、>=（大于等于） 、<=（小于等于）

ip.src == 192.168.3.6 過濾源主機IP地址或者目標主機IP地址為192.168.3.6的報文

1.2 邏輯運算符如：&&（與）、|| （或）、！ （非）

ip.src == 192.168.3.6 && && tcp.srcport == 8001,則只顯示報文源主機地址為192.168.3.6且源端口為為8001的報文

2、協(xié)議過濾

根據(jù)網(wǎng)絡協(xié)議過濾報文，即在抓包過濾框中輸入?yún)f(xié)議相關字段即可，包括”TCP”,”UDP””HTTP””ICMP”等。

3、MAC地址過濾

eth.addr == 382602:dd 過濾源主機MAC地址或者目標主機MAC地址為382602:dd的報文

eth.src== 382602:dd 過濾源主機MAC地址為382602:dd的報文

eth.dst== 382602:dd 過濾目標主機MAC地址為382602:dd的報文

4、ip地址過濾

Ip.addr == 192.168.3.6 過濾源主機IP地址或者目標主機IP地址為192.168.3.6的報文

Ip.src== 192.168.3.6 過濾源主機IP地址為192.168.3.6的報文

ip.dst == 192.168.3.240 過濾目標主機IP地址為192.168.3.240的報文

5、端口過濾

tcp.port==80 過濾基于TCP協(xié)議且目標端口號或源端口號為80的報文

udp.srcport == 8001 過濾基于UDP協(xié)議且端口號為8001的報文

tcp.dstport == 8001 過濾基于TCP協(xié)議且目標端口號為8001的報文

6、http模式過濾

http.request.method=="GET", 過濾基于http協(xié)議且http請求方式為”GET”的報文

審核編輯：湯梓紅