網絡抓包工具Wireshark下載安裝&使用詳細教程
叮嘟!這裏是小啊嗚的學習課程資料整理。好記性不如爛筆頭,今天也是努力進步的一天。一塊兒加油進階吧!
1、關於Wireshark
Wireshark(前身 Ethereal)是一個網絡包分析工具。該工具主要是用來捕獲網絡數據包,並自動解析數據包,爲用戶顯示數據包的詳細信息,供用戶對數據包進行分析。javascript
它能夠運行在 Windows 和 Linux 操做系統上。可使用該工具捕獲並分析各種協議數據包,本文將講解該工具的安裝及基本使用方法。html
2、下載及安裝
Kali Linux 系統自帶 Wireshark 工具,而 Windows 系統中默認沒有安裝該工具。所以,本節講解如何在 Windows 系統中安裝 Wireshark 工具。java
安裝方法:
-
打開網址 http://www.wireshark.org,進入 Wireshark 官網,如圖所示。
bash -
單擊圖中的下載圖標進入下載頁面,如圖所示。
在 Stable Release 部分能夠看到目前 Wireshark 的最新版本是 3.2.4,並提供了 Windows(32 位和 64 位)、Mac OS 和源碼包的下載地址。用戶能夠根據本身的操做系統下載相應的軟件包。網絡 -
這裏下載 Windows 64 位的安裝包。單擊 Windows Installer(64-bit) 連接,進行下載。下載後的文件名爲 Wireshark-win64-3.2.4.exe。
tcp -
雙擊下載的軟件包進行安裝。安裝比較簡單,只要使用默認值,單擊 Next 按鈕,便可安裝成功。
工具 -
安裝好之後,在 Windows 的「開始」菜單中會出現 Wireshark 圖標,如圖所示。學習
3、實施抓包
安裝好 Wireshark 之後,就能夠運行它來捕獲數據包了。方法以下:網站
- 在 Windows 的「開始」菜單中,單擊 Wireshark 菜單,啓動 Wireshark,如圖所示。
該圖爲 Wireshark 的主界面,界面中顯示了當前可以使用的接口,例如,本地鏈接 三、本地鏈接 10 等。要想捕獲數據包,必須選擇一個接口,表示捕獲該接口上的數據包。url
在上圖中,選擇捕獲「本地鏈接」接口上的數據包。選擇「本地鏈接」選項,而後單擊左上角的「開始捕獲分組」按鈕,將進行捕獲網絡數據,以下如所示。
圖中沒有任何信息,表示沒有捕獲到任何數據包。這是由於目前「本地鏈接」上沒有任何數據。只有在本地計算機上進行一些操做後纔會產生一些數據,如瀏覽網站。
-
當本地計算機瀏覽網站時,「本地鏈接」接口的數據將會被 Wireshark 捕獲到。捕獲的數據包如圖所示。圖中方框中顯示了成功捕獲到「本地鏈接」接口上的數據包。
-
Wireshark 將一直捕獲「本地鏈接」上的數據。若是不須要再捕獲,能夠單擊左上角的「中止捕獲分組」按鈕,中止捕獲。
4、使用顯示過濾器
默認狀況下,Wireshark 會捕獲指定接口上的全部數據,並所有顯示,這樣會致使在分析這些數據包時,很難找到想要分析的那部分數據包。這時能夠藉助顯示過濾器快速查找數據包。
顯示過濾器是基於協議、應用程序、字段名或特有值的過濾器,能夠幫助用戶在衆多的數據包中快速地查找數據包,能夠大大減小查找數據包時所需的時間。
使用顯示過濾器,須要在 Wireshark 的數據包界面中輸入顯示過濾器並執行,如圖所示。
圖中方框標註的部分爲顯示過濾器區域。用戶能夠在裏面輸入顯示過濾器,進行數據查找,也能夠根據協議過濾數據包。
顯示過濾器及其做用
| 顯示過濾器 | 做用 |
|---|---|
| arp | 顯示全部 ARP 數據包 |
| bootp | 顯示全部 BOOTP 數據包 |
| dns | 顯示全部 DNS 數據包 |
| ftp | 顯示全部 FTP 數據包 |
| http | 顯示全部 HTTP 數據包 |
| icmp | 顯示全部 ICMP 數據包 |
| ip | 顯示全部 IPv4 數據包 |
| ipv6 | 顯示全部 IPv6 數據包 |
| tcp | 顯示全部基於 TCP 的數據包 |
| tftp | 顯示全部 TFTP(簡單文件傳輸協議)數據包 |
例如,要從捕獲到的全部數據包中,過濾出 DNS 協議的數據包,這裏使用 dns 顯示過濾器,過濾結果如圖所示。圖中顯示的全部數據包的協議都是 DNS 協議。
5、分析數據包層次結構
任何捕獲的數據包都有它本身的層次結構,Wireshark 會自動解析這些數據包,將數據包的層次結構顯示出來,供用戶進行分析。這些數據包及數據包對應的層次結構分佈在 Wireshark 界面中的不一樣面板中。
下面介紹如何查看指定數據包的層次結構。
- 使用 Wireshark 捕獲數據包,界面如圖所示。
上圖中所顯示的信息從上到下分佈在 3 個面板中,每一個面板包含的信息含義以下:
- Packet List 面板:上面部分,顯示 Wireshark 捕獲到的全部數據包,這些數據包從 1 進行順序編號。
- Packet Details 面板:中間部分,顯示一個數據包的詳細內容信息,而且以層次結構進行顯示。這些層次結構默認是摺疊起來的,用戶能夠展開查看詳細的內容信息。
- Packet Bytes 面板:下面部分,顯示一個數據包未經處理的原始樣子,數據是以十六進制和 ASCII 格式進行顯示。
- 以 HTTP 協議數據包爲例,瞭解該數據包的層次結構。在 Packet List 面板中找到一個 HTTP 協議數據包,如圖所示。
其中,編號 21 的數據包是一個 HTTP 協議數據包。此時在 Packet Details 面板上顯示的信息就是該數據包的層次結構信息。
這裏顯示了 5 個層次,每一個層次的含義以下:
- Frame:該數據包物理層的數據幀概況。
- Ethernet II:數據鏈路層以太網幀頭部信息。
- Internet Protocol Version 4:網際層 IP 包頭部信息。
- Transmission Control Protocol:傳輸層的數據段頭部信息。
- Hypertext Transfer Protocol:應用層的信息,此處是 HTTP 協議。
因而可知,Wireshark 對 HTTP 協議數據包進行解析,顯示了 HTTP 協議的層次結構。
- 用戶對數據包分析就是爲了查看包的信息,展開每一層,能夠查看對應的信息。例如,查看數據鏈路層信息,展開 Ethernet II 層,顯示信息以下:
Ethernet II, Src: Tp-LinkT_46:70:ba (ec:17:2f:46:70:ba), Dst: Giga-Byt_17:cf:21 (50:e5:49:17:cf:21) Destination: Giga-Byt_17:cf:21 (50:e5:49:17:cf:21) #目標MAC地址 Source: Tp-LinkT_46:70:ba (ec:17:2f:46:70:ba) #源MAC地址 Type: IPv4 (0x0800)
顯示的信息包括了該數據包的發送者和接收者的 MAC 地址(物理地址)。
能夠以相似的方法分析其餘數據包的層次結構。
Ending!
更多課程知識學習記錄隨後再來吧!
就醬,嘎啦!
注: 一、人生在勤,不索何獲。 二、Wireshark下載安裝和使用教程參考文章:http://c.biancheng.net/view/6379.html