🍁 博主 "開著拖拉機(jī)回家"帶您 Go to New World.?🍁

🦄 個人主頁——🎐開著拖拉機(jī)回家_Linux,大數(shù)據(jù)運維-CSDN博客 🎐?🍁

🪁🍁 希望本文能夠給您帶來一定的幫助🌸文章粗淺，敬請批評指正！🍁🐥

🪁🍁🪁🍁🪁🍁🪁🍁 🪁🍁🪁🍁🪁🍁🪁 🪁🍁🪁🍁🪁🍁🪁🍁🪁🍁🪁🍁

感謝點贊和關(guān)注 ，每天進(jìn)步一點點！加油！

目錄

🍁 博主 "開著拖拉機(jī)回家"帶您 Go to New World.?🍁

一、Wireshark簡介

二、下載及安裝

三、實施抓包

四、使用顯示過濾器

五、數(shù)據(jù)包層次結(jié)構(gòu)介紹

---

一、Wireshark簡介

---

Wireshark（前稱Ethereal）是一個網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是截取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報文交換。

在過去，網(wǎng)絡(luò)封包分析軟件是非常昂貴的，或是專門屬于盈利用的軟件。Ethereal的出現(xiàn)改變了這一切。在GNUGPL通用許可證的保障范圍底下，使用者可以以免費的途徑取得軟件與其源代碼，并擁有針對其源代碼修改及客制化的權(quán)利。Ethereal是全世界最廣泛的網(wǎng)絡(luò)封包分析軟件之一（百度百科）。

---

二、下載及安裝

---

在 Windows 系統(tǒng)中安裝 Wireshark 工具，打開網(wǎng)址 https://www.wireshark.org，進(jìn)入 Wireshark 官網(wǎng)。

在 Stable Release 部分可以看到目前 Wireshark 的最新版本是 4.0.8，用戶可以根據(jù)自己的操作系統(tǒng)下載相應(yīng)的軟件包。

這里下載 Windows 64 位的安裝包。單擊 Windows Installer(64-bit) 鏈接，進(jìn)行下載。下載后的文件名為 Wireshark-win64-4.0.8.exe。

雙擊下載的軟件包進(jìn)行安裝：

同意許可協(xié)議

選擇 Next：

選擇安裝組件（默認(rèn)安裝）

可以選擇 創(chuàng)建桌面圖標(biāo)

選擇安裝路徑

安裝winPacp（默認(rèn)安裝）

安裝USB（默認(rèn)安裝）

安裝中

同意協(xié)議，勾選安裝選項。

選擇Next

安裝完成后我們選擇Next

找個合適時間 再重啟，不用重啟也是可以的。

安裝好以后，在 Windows 的“開始”菜單中會出現(xiàn) Wireshark 圖標(biāo)，如圖所示。

雙擊后打開

---

三、實施抓包

---

安裝好 Wireshark 以后，就可以運行它來捕獲數(shù)據(jù)包了。方法如下：

在 Windows 的“開始”菜單中，單擊 Wireshark 菜單，啟動 Wireshark，如圖所示。

該圖為 Wireshark 的主界面，界面中顯示了當(dāng)前可使用的接口，例如，以太網(wǎng)2、本地連接 9 等。要想捕獲數(shù)據(jù)包，必須選擇一個接口，表示捕獲該接口上的數(shù)據(jù)包。

在上圖中，選擇捕獲“以太網(wǎng)2”接口上的數(shù)據(jù)包，然后單擊左上角的“開始捕獲分組”按鈕，將進(jìn)行捕獲網(wǎng)絡(luò)數(shù)據(jù)，如下如所示。

“以太網(wǎng)2”接口的數(shù)據(jù)將會被 Wireshark 捕獲到，捕獲的數(shù)據(jù)包如圖所示。Wireshark 將一直捕獲“本地連接”上的數(shù)據(jù)。如果不需要再捕獲，可以單擊左上角的“停止捕獲分組”按鈕，停止捕獲。

---

四、使用顯示過濾器

---

默認(rèn)情況下，Wireshark 會捕獲指定接口上的所有數(shù)據(jù)，并全部顯示，這樣會導(dǎo)致在分析這些數(shù)據(jù)包時，很難找到想要分析的那部分?jǐn)?shù)據(jù)包。這時可以借助顯示過濾器快速查找數(shù)據(jù)包。

顯示過濾器是基于協(xié)議、應(yīng)用程序、字段名或特有值的過濾器，可以幫助用戶在眾多的數(shù)據(jù)包中快速地查找數(shù)據(jù)包，可以大大減少查找數(shù)據(jù)包時所需的時間。

使用顯示過濾器，需要在 Wireshark 的數(shù)據(jù)包界面中輸入顯示過濾器并執(zhí)行，我們選擇 ping 百度：

用戶可以在框框中輸入顯示過濾器，進(jìn)行數(shù)據(jù)查找，也可以根據(jù)協(xié)議過濾數(shù)據(jù)包，我輸入 ip.addr == 110.242.68.3，然后開始捕獲，在開始ping 百度，輸出如下捕獲到的信息：

ICMP請求和應(yīng)答:

---

五、數(shù)據(jù)包層次結(jié)構(gòu)介紹

---

任何捕獲的數(shù)據(jù)包都有它自己的層次結(jié)構(gòu)，Wireshark 會自動解析這些數(shù)據(jù)包，將數(shù)據(jù)包的層次結(jié)構(gòu)顯示出來，供用戶進(jìn)行分析。這些數(shù)據(jù)包及數(shù)據(jù)包對應(yīng)的層次結(jié)構(gòu)分布在 Wireshark 界面中的不同面板中。

使用 Wireshark 捕獲數(shù)據(jù)包，界面如圖所示。

上圖中所顯示的信息從上到下分布在 3 個面板中，每個面板包含的信息含義如下：

• Packet List 面板：上面部分，顯示 Wireshark 捕獲到的\數(shù)據(jù)包。
• Packet Details 面板：中間部分，顯示一個數(shù)據(jù)包的詳細(xì)內(nèi)容信息，并且以層次結(jié)構(gòu)進(jìn)行顯示。這些層次結(jié)構(gòu)默認(rèn)是折疊起來的，用戶可以展開查看詳細(xì)的內(nèi)容信息。
• Packet Bytes 面板：下面部分，顯示一個數(shù)據(jù)包未經(jīng)處理的原始樣子，數(shù)據(jù)是以十六進(jìn)制和 ASCII 格式進(jìn)行顯示。

以 ICMP 協(xié)議數(shù)據(jù)包為例，也就是 ping 百度過濾到的數(shù)據(jù)包，了解該數(shù)據(jù)包的層次結(jié)，如圖所示：

其中，編號 37的數(shù)據(jù)包是一個 ICMP 協(xié)議數(shù)據(jù)包。此時在 Packet Details 面板上顯示的信息就是該數(shù)據(jù)包的層次結(jié)構(gòu)信息。這里顯示了 4 個層次，每個層次的含義如下：

• Frame：該數(shù)據(jù)包物理層的數(shù)據(jù)幀概況。
• Ethernet II：數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息。
• Internet Protocol Version 4：網(wǎng)際層 IP 包頭部信息。
• Internet Control Message Protocol：網(wǎng)際層 控制報文協(xié)議應(yīng)答消息。

由此可見，Wireshark 對 HTTP 協(xié)議數(shù)據(jù)包進(jìn)行解析，顯示了 HTTP 協(xié)議的層次結(jié)構(gòu)。

用戶對數(shù)據(jù)包分析就是為了查看包的信息，展開每一層，可以查看對應(yīng)的信息。例如，查看網(wǎng)際層 信息，展開 Internet Control Message Protocol 層，顯示信息如下：

可以以類似的方法分析其他數(shù)據(jù)包的層次結(jié)構(gòu)。

---

參考原文鏈接：網(wǎng)絡(luò)抓包工具Wireshark下載安裝&使用詳細(xì)教程-CSDN博客