Wireshark數據抓包教程之Wireshark捕獲數據

時間 2019-11-08

標籤 wireshark 數據抓包教程捕獲简体版

原文原文鏈接

Wireshark數據抓包教程之Wireshark捕獲數據

Wireshark抓包方法

在使用Wireshark捕獲以太網數據，能夠捕獲分析到本身的數據包，也能夠去捕獲同一局域網內，在知道對方IP地址的狀況下，捕獲到對方的數據包。網絡

Wireshark捕獲本身的數據包

若是客戶端通過路由器直接上網，如圖1.28所示。在該圖中，PC機A安裝Wireshark，能夠在該主機上直接捕獲本身的數據。工具

圖1.28 在主機上捕獲數據學習

Wireshark捕獲別人的數據包

若是都在一個局域網內，並且知作別人的IP地址的話，也能夠利用Wireshark捕獲到別人的數據包。具體方法以下：3d

1.端口映射對象

局域網內，在同一交換機下工做的PC機，如圖1.29所示。PC機A和PC機B在同一交換機下工做，PC機A安裝Wireshark後，把交換機上任意一個PC機的數據端口作鏡像，設置交換機來複制全部數據到用戶交換端口下的Wireshark端口，這時PC機A就能夠抓取到其餘PC機的數據了，如抓取PC機B的數據。blog

2.使用集線器排序

咱們能夠把圖1.29中的交換機換成集線器，這樣的話全部的數據包都是通發的。也就是說，不論是誰的數據包都會發到這個集線器上的每個計算機。只要將網卡設置爲混雜模式就能抓到別人的包。教程

3.利用ARP欺騙接口

咱們都知道，發送、接受數據都要通過路由器，如圖1.30所示。該圖中PC機A安裝Wireshark後，能夠利用ARP欺騙，來抓取PC機B、PC機C或PC機B與PC機C之間的數據包了。PC機A在局域網內發送ARP包，使其餘計算機都誤覺得它是網關。這樣的話，其餘計算機都會將它們的數據包發送到PC機A那裏，所以PC機A就能夠抓到它們的包了。路由

圖1.29 捕獲PC機B數據包圖1.30 捕獲數據包

Wireshark捕獲數據

經過上述的學習，下載安裝好Wireshark後，就能夠利用它來捕獲數據了。下面以開發版（中文版）1.99.7爲例講解如何來捕獲數據。

Wireshark如何捕獲數據

在Windows窗口程序中啓動Wireshark，如圖1.31所示的界面。

圖1.31 Wireshark主界面圖1.32 捕獲網絡數據

在該界面能夠看到本地鏈接、VMware Network Adapter VMnet一、VMware Network Adapter VMnet8，這是3個捕獲網絡接口。本機中有3個，若是使用其餘電腦網絡捕獲接口多是不一樣的。只有選擇了捕獲網絡接口，才能進行捕獲網絡數據。所以首先選擇網絡接口。這裏選擇本地鏈接做爲捕獲網絡接口，而後單擊圖中按鈕，將進行捕獲網絡數據，如圖1.32所示。

單擊圖中的按鈕中止捕獲。咱們能夠把捕獲到的數據保存起來。單擊圖中的按鈕，顯示如圖1.33所示的界面。

圖1.33 保存捕獲數據圖1.34 打開捕獲文件

在該界面能夠選擇保存捕獲數據的位置，並對保存的文件進行命名。而後單擊「保存」按鈕便可。這裏保存在桌面，文件名稱爲Wireshark。

Wireshark打開捕獲文件

當咱們把捕獲到的數據保存起來，以便下次查看。那麼怎麼去打開已經捕獲好的文件呢？這裏將作一個介紹。

（1）在啓動Wireshark的界面中，單擊打開按鈕，彈出打開對話框，如圖1.34所示。

（2）在該界面選擇捕獲文件保存的位置，而後單擊「打開」按鈕便可打開捕獲的文件。

Wireshark快速入門

在學會使用Wireshark捕獲數據的基礎上，還要進一步的理解Wireshark各部分的用途。本節將進行詳細講解。

Wireshark主窗口界面介紹

打開一個捕獲文件，如圖1.35所示：

圖1.35 Wireshark主窗口界面圖1.36 菜單欄

在圖1.35中，以編號的形式已將Wireshark每部分標出。下面分別介紹每部分的含義，以下所示：

q ①標題欄——用於顯示文件名稱、捕獲的設備名稱。
q ②菜單欄——Wireshark的標準菜單欄。
q ③工具欄——經常使用功能快捷圖標按鈕。
q ④顯示過濾區域——減小查看數據的複雜度。
q ⑤Packet List面板——顯示每一個數據幀的摘要。
q ⑥Packet Details面板——分析封包的詳細信息。
q ⑦Packet Bytes面板——以十六進制和ASCII格式顯示數據包的細節。
q ⑧狀態欄——分組、已顯示、已標記幀的數量，配置文件。

以上簡單的介紹了Wireshark主窗口界面的各部分的含義，下面對每個部分進行詳細的介紹

Wireshark菜單欄介紹

Wireshark的菜單欄界面如圖1.36所示。在該界面中被塗掉的兩個菜單，在工具欄中進行介紹。

該菜單欄中每一個按鈕的做用以下所示：

q 文件：打開文件集、保存包、導出HTTP對象。
q 編輯：搜索包、標記包及設置時間屬性等。
q 視圖：查看/隱藏工具欄和麪板、編輯Time列、重設顏色等。
q 分析：建立顯示過濾器宏、查看啓用協議、保存關注解碼。
q 統計：構建圖表並打開各類協議統計窗口。
q 電話：執行全部語音功能（圖表、圖形、回放）
q 藍牙：ATT服務設置。
q 幫助：學習Wireshark全球存儲和我的配置文件

Wireshark工具欄介紹

當用戶詳細瞭解工具欄中每一個按鈕的做用後，用戶就能夠快速的進行各類操做。在工具欄中，每一個按鈕的做用如圖1.37所示。

圖1.37 工具欄圖1.38 Wireshark面板

Wireshark面板介紹

Wireshark有三個面板，分別是Packet List面板、Packet Details面板、Packet Bytes面板。這三個面板的位置，如圖1.38所示。

在該界面將三個面板已經標出。這三個面板之間是互相關聯的，若是但願在Packet Details面板中查看一個單獨的數據包的具體內容，必須在Packet List面板中單擊選中那個數據包。選中該數據包以後，才能夠經過在Packet Details面板中選擇數據包的某個字段進行分析，從而在Packet Bytes面板中查看相應字段的字節信息。下面介紹面板的內容。

1.Packet List面板

該面板用表格的形式顯示了當前捕獲文件中的全部數據包。從圖1.38中，能夠看到該面板中共有七列，每列內容以下所示：

q No（Number）列：包的編號。該編號不會發生改變，即便使用了過濾也一樣如此。
q Time列：包的時間戳。時間格式能夠本身設置。
q Source和Destination列：顯示包的源地址和目標地址。
q Protocol列：顯示包的協議類型。
q Length列：顯示包的長度。
q Info列：顯示包的附加信息。

在該面板中，能夠對面板中的列進行排序、調整列位置、隱藏列、顯示列、重命名或刪除列等操做。下面以例子的形式將分別介紹在該面板中可操做的功能。

【實例1-4】演示Packet List面板中可實現的功能。以下所示：

（1）列排序

打開一個捕獲文件http.pcapng，如圖1.39所示。

圖1.39 http.pcapng捕獲文件圖1.40 排序Protocol列

該界面顯示了http.pcapng捕獲文件中的數據包。默認Wireshark是以數據包編號由低到高排序。例如，要對Protocol列排序，單擊Protocol列標題，將顯示如圖1.40所示的界面。

將該界面與圖1.39進行比較，能夠發現有很大變化。從該界面能夠看到No列的順序發生了變化，協議列開始都爲ARP。

（2）移動列位置

如移動http.pcapng捕獲文件中的Protocol列，到Time後面。使用鼠標選擇Protocol列，而後拖拽該列到Time後面，將顯示如圖1.41所示的界面。

圖1.41 移動Protocol列圖1.42 列操做選項

（3）隱藏、重命名、刪除列

在捕獲文件http.pacpng中，右鍵單擊Packet List面板的任意列標題，將彈出一個下拉菜單，如圖1.42所示。

q 隱藏列、恢復列：在彈出的菜單中能夠看到Packet List面板中的七列標題前都有對勾。想隱藏哪列，單擊該列，對勾消失菜單消失該列隱藏。如想恢復該列，右擊Packet List面板中任意列的標題，以一樣的方式便可恢復。
q 重命名列：在彈出的菜單中單擊編輯列，顯示如圖1.43所示的界面。

圖1.44 Wireshark首選項

該界面出如今Packet List面板的上方，在該界面的左端的標題文本框進行重命名。而後單擊右端的肯定按鈕便可

q 刪除列、恢復列：在彈出的菜單中單擊最下面的刪除本列選項便可。恢復列需單擊Column Preferences...選項，（或者在菜單欄中依次選擇「編輯」|「首選項」，在彈出的界面左側單擊列便可）彈出Wireshark首選項框。如圖1.44所示。

單擊左下角的按鈕，自動新建了一個標題爲New Column的列，而且類型爲Number。能夠雙擊標題和類型進行更改。建立好之後單擊OK按鈕便可。

在Wireshark中，還能夠對Packet List面板中全部數據包進行許多操做，如標記、忽略、設置分組等。用戶能夠經過右鍵單擊任何一個數據包，查看可用的選項，如圖1.45所示。

圖1.45 可用選項圖1.46 菜單欄

在該界面顯示了在Packet List面板中，數據包的可用選項。在該選項中，使用標記分組能夠快速的找出有問題的數據包。

2.Packet Details面板

該面板分層次地顯示了一個數據包中的內容，而且能夠經過展開或收縮來顯示這個數據包中所捕獲到的所有內容。

在Packet Details面板中，默認顯示的數據的詳細信息都是合併的。若是要查看，能夠單擊每行前面的小三角展開幀的會話。用戶也能夠選擇其中一行並右鍵單擊，彈出菜單欄。如圖1.46所示。

在菜單欄中選擇展開子樹（單個會話）或展開所有會話。

3.Packet Bytes面板

該面板中的內容多是最使人困惑的。由於它顯示了一個數據包未經處理的原始樣子，也就是其在鏈路上傳播時的樣子。

在該面板中的數據是以十六進制和ASCII格式顯示了幀的內容。當在Packet Details面板中選擇任意一個字段後，在Packet Bytes面板中包含該字段的字節也高亮顯示。若是不想看到Packet Bytes面板的話，能夠在菜單欄中依次選擇「視圖」|「分組字節流（B）」命令將其關閉。當查看的時候，使用一樣的方法將其打開。

Wireshark狀態欄介紹

狀態欄是由兩個按鈕和三列組成的。其中，這三列的大小在必要時能夠調整。狀態欄中每部分含義如圖1.47所示。

圖1.47 狀態欄

下面分別詳細介紹下狀態欄中每部分的做用。以下所示：

q ：該按鈕是專家信息按鈕。該按鈕的顏色是爲了顯示包含在專家信息窗口中最高水平的信息。專家信息窗口能夠提醒用戶，在捕獲文件中的網絡問題和數據包的註釋
q ：該按鈕是捕獲文件註釋按鈕。單擊該按鈕，能夠添加、編輯或查看一個捕獲文件的註釋。該功能只能夠在以.pcapng格式保存的捕獲文件使用。
q 第一列（獲取字段、捕獲或捕獲文件信息）：當在捕獲文件中選擇某個字段時，在狀態欄中將能夠看到文件名和列大小。若是點擊Packet Bytes面板中的一個字段，將在狀態欄中會顯示其字段名，而且Packet Details面板也在發生着變化。
q 第二列（包數）：當打開一個捕獲文件時，在狀態欄中的第二列將顯示該文件的總包數。在圖1.47中，顯示了捕獲的數據包數量、顯示包數和加載時間。若是當前捕獲文件中有包被標記，則狀態欄中將會出現標記包數。
q 第三列（配置文件）：表示當前使用的文件。在圖1.47中，表示正在使用Default 文件。文件能夠建立，這樣就能夠本身定製Wireshark的環境。

本文選自：Wireshark數據抓包基礎教程大學霸內部資料，轉載請註明出處，尊重技術尊重IT人！