Wireshark(前稱Ethereal)是一個網絡封包分析軟體。網絡封包分析軟體的功能是撷取網絡封包,并盡可能顯示出最為詳細的網絡封包資料。Wireshark 使用 WinPCAP 作為接口,直接與網卡進行資料封包交換。
Wireshark環境搭建
1)Windows環境
下載下傳一個安裝包,預設配置,一路 next 即可完成安裝。
2)ubuntu環境(這裡測試環境為 ubuntu 12.04(32位),不同版本有所差異,使用方法卻差不多)
在終端敲安裝指令:sudo apt-get install wireshark
Wireshark使用簡單流程
1)打開 Wireshark
Windows 輕按兩下即可打開 Wireshark。
ubuntu 如何啟動 wireshark ?
需要超級使用者打開,在終端上敲:sudo wireshark
2)如果沒有接口清單,打開接口清單
方法1:
方法2:
3)選擇合适網卡,這裡抓所有網卡的的資料。
方法1:
方法2:
4)已經開始捕捉資料包( Wireshark 會捕捉系統發送和接收的每一個封包),捕捉到需要的資料包後可以停止捕捉
停止抓包後,如何重新開始?
在捕捉封包時,往往需要過濾資料包,這樣可以更準确捕捉到我們所需要的封包。
在 Filter 這個框裡 寫上過濾的規則,回車即可過濾出想要的資料包。
這些規則可以通過“或”、“且”、“非” 來連接配接,進行更詳細的過濾。
也可以點選 Expression 進行選擇,這個過濾法則多去嘗試,就能應用的更熟練。
如果過濾語句不對,背景色會呈現粉紅色,正确呈現淺綠色。
Wireshark 視窗介紹
資料包清單(Packet List):用表格顯示了目前捕獲檔案中的所有資料包,其中包括了資料包序号、資料包被捕獲的相對時間、資料包的源位址和目标位址、資料包的協定以及在資料包中找到的概況資訊等列。點選某一行可以在下面兩個視窗看到更多資訊。
資料包細節(Packet Details):用分層大的方式顯示了一個資料包中的内容,并且可以通過展開或是收縮來顯示這個資料包中所捕獲到的全部内容。
資料包位元組(Packet Bytes):顯示了一個資料包未經處理的原始樣子,也就是其在鍊路上傳播時的樣子。