介绍
网络封包分析软件。
Wireshark使用WinPCAP作为接口, 直接与网卡进行数据报文交换。
安装
官网下载安装。
可能遇到的问题
wireshark 打开后,找不到网卡接口。
问题原因: wireshark 中自带的winpcap 不支持win10。
可以下载一个win10 支持的 winpcap 。
关闭wireshark后安装,重新打开wireshark 即可。
简单使用
1、选择网卡接口类型
2、启动抓包
捕获菜单: 开始 (快捷键 CTRL +E)
3、停止抓包
捕获菜单: 开始 (快捷键 CTRL +E,启动抓包后有效)
4、过滤栏
在过滤栏中输入过滤信息,点击Apply,方便信息的筛选。
也可以在分析菜单栏中选择Display Filters来创建新的过滤条件。
5、分组列表
每一行代表一个网络报文。
每一列代表的含义,从左至右一次为:
- 编号
- 接收时间(相对抓取的时间)
- 源IP 地址
- 目的IP 地址
- 使用的协议
- 长度
- 报文相关信息
6、色彩标识
可在视图菜单中的着色规则中查看
一般情况:
- 绿色: TCP 报文
- 深蓝色:DNS 报文
- 浅蓝色: UDP报文
- 黑色:有问题的TCP报文,例如:乱序报文
- 黑色背景红色字体:重传报文
7、追踪流
选中一个报文之后,就可以深入挖掘它的内容了
右键,追踪流,可以看到服务器和目标端之间的全部会话。
客户端报文用红色标识, 服务器的报文则为蓝色。
实例
抓取浏览器访问中国知网的数据包
1、获取中国知网的IP地址,用来过滤
可以使用在线的IP地址查询工具
2、在wireshark的过滤栏中添加过滤条件: ip.addr == 115.31.65.10 或者 ip.addr eq 115.31.65.10
3、开始抓取并进行分析