wireshark

一、下载地址

https://www.wireshark.org/#download

二、安装过程

一路next

三、简介

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

Wireshark主要应用

1、实时抓取数据包并进行分析(抓包模块)

2、对已获取的数据包进行流量分析

四、使用

1、开始页

如果没有显示这些连接需要卸载重装。显示有波浪线的说明有数据包，双击进入。

2、主界面

分组列表:将流量以分组的形式，简单的呈现出来

分组详情:将流量以TCP/IP5层模式形式展现出来

分组字节流:将流量以字节流形式展现也就是16进制

3、快捷键

（1）开始捕获

（2）暂停捕获

（3）重新开始当前捕获

（4）捕获选项（重新选择捕获网络）

（5）打开保存的捕获文件

（6）保存捕获文件

（7）关闭捕获文件（返回开始界面）

（8）重新加载文件（恢复到一开始打开文件的状态）

（9）*查找下一分组

（10）转到前一分组

（11）转到后一分组

（12）转到特定分组

（13）转到首个分组

（14）转到最新分组（以上五个作用与鼠标点击一样）

（15）在实时捕获时，自动滚动屏幕到最新的分组

（16）自定义着色规则来绘制分组

（17）放大主窗口文本

（18）收缩主窗口文字

（19）使主窗口文字返回正常大小

（20）调整分组列表列以适应内容

4、菜单栏

4.1文件

（1）打开

（2）打开最近文件

（3）合并

（4）导入

（5）*导出特定分组

（6）*导出分组解析结果

（7）导出分组字节流

（8）*导出对象

4.2编辑

（1）复制（选中后复制相关信息）

（2）标记/取消标记分组

（3）标记所有显示的分组

（4）取消标记所有显示的分组

（5）分组注释

（6）删除所有分组注释

（7）配置文件（主题设置）

（8）首选项

4.3视图

眼睛能看到的所有设置

4.4跳转

与鼠标作用相似

4.5捕获

4.6*分析

（1）显示过滤器

（2）显示过滤表达式

（3）*应用为列（例：选择端口信息应用为列，则可以在分组列表中看到端口列）

（4）*追踪流

4.7统计

（1）*协议分级

（2）*会话

5、过滤方式

规则：协议名字+字段名＋判断＋值

（1）过滤IP，如来源IP或者目标IP等于某个IP ip.src eq 10.2.6.10 or ip.dst eq 10.2.6.10

（2）过滤端口

tcp.port eq 80 不管端口是来源的还是目标的都显示

tcp.dstport == 80 只显tcp协议的目标端口80

tcp.srcport ==80 只显tcp协议的来源端口80

过滤端口范围

tcp.port >= 1 and tcp.port <=80

（3）过滤协议

例子：tcp udp arp

（4）过滤MAC

以太网头过滤

eth.dst == A0:00:00:04:C5:84//过滤目标mac

eth.src eq A0:00:00:04:C5:84//过滤来源mac

eth.addr eq A0:00:00:04:C5:84//过滤来源MAc和目标MAC都等于A0:00:00:04:C5:84的

（5）包长度过滤

例子:

udp.length == 26这个长度是指udp本身固定长度8加上udp下面那块数据包之和tcp.len >= 7指的是ip数据包(tcp下面那块数据),不包括tcp本身

（6）http模式过滤

例子:

http.request.method ==“GET"

http.request.method ==“POST"

http.request.uri =z ““/img/ogo-edu.gif”

http contains"GET”

http contains"HTTP/1.”