wireshark安装及使用入门

Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark来检查资讯安全相关问题，开发者使用Wireshark来为新的通讯协定除错，普通使用者使用Wireshark来学习网络协定的相关知识。当然，有的人也会“居心叵测”的用它来寻找一些敏感信息……这儿就不多赘述了。

如何安装

1. 选择自己电脑相应的位数双击Wireshark-win64-3.2.1.exe进行安装。

2. 打开wireshark的安装程序，依次点击Next →IAgree → Next →Next → Next (选择安装位置) → Next → Install。

3. 安装完成后会自动重启电脑，即可正常运行。

界面说明

数据分析

选定数据包的分协议层展示中各自对应OSI七层模型。

1. 物理层的数据帧概要

2. 数据链路层以太网帧的头部信息

3. 网络层IP头部包信息

4. 传输层数据包头部信息

常见显示过滤表达式

在开始捕获数据包之前输入捕获过滤表达式，然后wireshark只捕获符合条件的数据包，不记录不符合条件的数据包。

数据链路层：

筛选mac地址为00:01:6C:06:A6:29的数据包：eth.src == 00:01:6C:06:A6:29

网络层：

筛选ip地址为192.168.1.1的数据包：

ip.addr == 192.168.1.1

筛选192.168.1.0网段的数据:

ip contains “192.168.1”

筛选10.10.1.1和10.10.1.2之间的数据包:

ip.addr == 10.10.1.1 && ip.addr == 10.10.1.2

筛选从192.168.1.1到192.168.1.2的数据包:

ip.src == 192.168.1.1 && ip.dst == 192.168.1.2

传输层：

筛选tcp协议的数据包:tcp

筛选除tcp协议以外的数据包:!tcp

筛选端口为80的数据包:tcp.port == 80

筛选12345端口和80端口之间的数据包:

tcp.port == 12345 && tcp.port == 80

筛选从12345端口到80端口的数据:

tcp.srcport == 12345 && tcp.dstport == 80

应用层：

筛选url中包含.php的http数据:

http.request.uri contains “.php”

筛选内容包含username的http数据包:

http contains “username”

原文链接