1.WireShark学习-WireShark介绍和基本操作

1.WireShark介绍和基本操作

1.1WireShark是什么？

我们正常情况下是看不到数据包，应用程序和操作系统产生数据包后会将其交给网卡，再由网卡发送出去，当我们使用了WireShark之后，网卡无论是在接受还是发送数据包时都会将数据包复制一份发送给WireShark，凡是经过网卡的数据包都会被WireShark获取到，这个获取流经网卡数据包的过程，我们叫它捕获数据包（抓包）。

数据包是以0和1进行编码的,也就是说无论是你在访问一个网站,还是在看一个在线视频,或者联机游戏,在网络中产生的数据包都是大量的0和1的组合,比如“00010100 01000100这种形式,如果使用手工来分析这些数据含义的话,那么付出的工作量之大将会是无法想象的。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

而WireShark会把捕获0和1组合成我们容易理解的形式，这个过程就叫数据包分析。

1.1.1WireShark是什么？

• Wireshark是一个可以进行数据包的捕获和分析的软件。
• 网卡在对接收到的数据包进行处理之前,会先对它们的目的地址进行检查,如果目的地址不为本机的话,就会丢弃这些数据,相反就会将这些数据包交给操作系统,操作系统再将其分配给应用程序。如果启动了WireShark的话,操作系统会将经过网卡的所有数据包都复制一份提供给它,这样我们就可以在WireShark中查看到本机所有进出的数据包了。

1.2 WireShark操作过程

1. 选择合适的网卡。

2. 开始捕获数据包。

3. 过滤掉无用的数据包。

4. 将捕获到的数据包保存为文件。

5. 选择合适的网卡。
   打开软件之后，出现网卡信息，当我们把鼠标放到网卡上时会显示物理地址与逻辑地址（ip）
   

6. 开始捕获数据包。

打开界面后，主要分为三部分，

• 第一部分（图中的1）：列表面板，是按照顺序显示了我们捕获的所有数据包。
• 第二部分：细节面板，捕获的数据包详细信息
• 第三部分：数据包字节面板，未处理过的数据包原始信息，也就是二进制0101的格式
• 左下角的橙色圈是自带的提示系统。
• 右下角显示数量与分组

3. 过滤掉无用的数据包。

WireShark中的会话：两台设备之间的通信视为一个会话

统计——会话，可以显示出会话

我们的主机一共跟35个不同ip的主机进行过通信

视图中的——解析名称，可以使ip地址与网站域名对应起来，也就是说ip地址那一栏，显示出域名，WireShark不带dns服务器，它也是向dns服务器发出请求，虽然带来了便利，但给系统带来了不小的负担，1万数据包就需要向dns服务器请求1万次

回到统计——会话中，点击左下角的解析名称，即可解析域名

接下来过滤40.90.189.152与主机通信的数据包，右键，如图选项

我们可以看到，WireShark页面中只显示40.90.189.152与主机通信的数据包，其实这里用的是显示过滤器ip.addr==40.90.189.152 && ip.addr==192.168.0.7

4. 将捕获到的数据包保存为文件。
方法1.文件——保存

早期WireShark是使用pcap格式保存的，新版本是使用pcapng

方法2:如果我们需要只导出过滤后的数据就需要用到

文件——导出特定分组功能

如果我们需要导出所有的数据包需要选Captured这个选项，如果只是需要导出过滤后显示的3个数据包，就选Displayed。