「作者主頁(yè)」：士別三日wyx
「作者簡(jiǎn)介」：CSDN top100、阿里云博客專家、華為云享專家、網(wǎng)絡(luò)安全領(lǐng)域優(yōu)質(zhì)創(chuàng)作者
「專欄簡(jiǎn)介」：此文章已錄入專欄《網(wǎng)絡(luò)安全快速入門》

一、Wireshark是什么

Wireshark是使用最廣泛的一款「開源抓包軟件」，常用來檢測(cè)網(wǎng)絡(luò)問題、攻擊溯源、或者分析底層通信機(jī)制。

它使用WinPCAP作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換。

二、Wireshark抓包原理

Wireshark使用的環(huán)境大致分為兩種，一種是電腦直連互聯(lián)網(wǎng)的單機(jī)環(huán)境，另外一種就是應(yīng)用比較多的互聯(lián)網(wǎng)環(huán)境，也就是連接交換機(jī)的情況。

「單機(jī)情況」下，Wireshark直接抓取本機(jī)網(wǎng)卡的網(wǎng)絡(luò)流量；
「交換機(jī)情況」下，Wireshark通過端口鏡像、ARP欺騙等方式獲取局域網(wǎng)中的網(wǎng)絡(luò)流量。

• 端口鏡像：利用交換機(jī)的接口，將局域網(wǎng)的網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)到指定電腦的網(wǎng)卡上。
• ARP欺騙：交換機(jī)根據(jù)MAC地址轉(zhuǎn)發(fā)數(shù)據(jù)，偽裝其他終端的MAC地址，從而獲取局域網(wǎng)的網(wǎng)絡(luò)流量。

三、Wireshark安裝入門。

詳細(xì)安裝步驟請(qǐng)參考我的另一篇文章：
超詳細(xì)，Wireshark 3.6.3安裝教程（Windows系統(tǒng)）

安裝完成后，我們學(xué)習(xí)一下快速抓包。

1. 選擇網(wǎng)卡

打開 Wireshark 后，會(huì)直接進(jìn)入「網(wǎng)卡選擇界面」，WLAN 是我連接無線的網(wǎng)卡，我們抓一下這個(gè)網(wǎng)卡的流量，雙擊網(wǎng)卡名，自動(dòng)開始抓包。

2. 停止抓包

點(diǎn)擊左上角的「紅色按鈕」，可以停止抓包

3. 保存數(shù)據(jù)

點(diǎn)擊右上角的「文件」，選擇「保存」，可以保存抓包的數(shù)據(jù)

也可以直接點(diǎn)擊工具欄的保存按鈕

四、界面介紹

Wireshark 的主界面包含6個(gè)部分：

1. 菜單欄：用于調(diào)試、配置
2. 工具欄：常用功能的快捷方式
3. 過濾欄：指定過濾條件，過濾數(shù)據(jù)包
4. 數(shù)據(jù)包列表：核心區(qū)域，每一行就是一個(gè)數(shù)據(jù)包
5. 數(shù)據(jù)包詳情：數(shù)據(jù)包的詳細(xì)數(shù)據(jù)
6. 數(shù)據(jù)包字節(jié)：數(shù)據(jù)包對(duì)應(yīng)的字節(jié)流，二進(jìn)制

五、基礎(chǔ)操作

接下來，我們學(xué)習(xí)一下Wireshark常用的操作。

1. 調(diào)整界面大小

工具欄中的三個(gè)「放大鏡」圖標(biāo)，可以調(diào)整主界面數(shù)據(jù)的大小。

從左到右依次是：放大、縮小、還原默認(rèn)大小。

2. 設(shè)置顯示列

數(shù)據(jù)包列表是最常用的模塊之一，列表中有一些默認(rèn)顯示的列，我們可以添加、刪除、修改顯示的列。

1）添加顯示列

想要在數(shù)據(jù)列表中顯示某一個(gè)字段，可以將這個(gè)數(shù)據(jù)字段添加至顯示列中。
左鍵選中想要添加為列的字段，右鍵選擇「應(yīng)用為列」。

選中字段，按 Ctrl + Shift + I ，也可以實(shí)現(xiàn)同樣的效果。

添加為列的字段會(huì)在數(shù)據(jù)列表中顯示。

2）隱藏顯示列

暫時(shí)不想查看的列，可以暫時(shí)隱藏起來。
在顯示列的任意位置右鍵，取消列名的「勾選」，即可隱藏顯示列。

3）刪除顯示列

不需要查看的字段，可以從顯示列中刪除。
右鍵需要?jiǎng)h除的列，點(diǎn)擊最下方的「Remove this Column」 。

注意：隱藏字段時(shí)，在列名欄的任意位置右鍵即可；而刪除字段時(shí)，需要在指定的列名位置右鍵，以防誤刪。

3. 設(shè)置時(shí)間

數(shù)據(jù)包列表欄的時(shí)間這一列，默認(rèn)顯示格式看起來很不方便，我們可以調(diào)整時(shí)間的顯示格式。
點(diǎn)擊工具欄的「視圖」，選擇「時(shí)間顯示格式」，設(shè)置你喜歡的格式。

4. 標(biāo)記數(shù)據(jù)包

對(duì)于某些比較重要的數(shù)據(jù)包，可以設(shè)置成高亮顯示，以達(dá)到標(biāo)記的目的。
選中需要標(biāo)記的數(shù)據(jù)包，右鍵選擇最上面的「標(biāo)記/取消標(biāo)記」。

選中數(shù)據(jù)包，按 Ctrl + M 也可以實(shí)現(xiàn)同樣的效果，按兩次可以取消標(biāo)記。

5. 導(dǎo)出數(shù)據(jù)包

演示快速抓包時(shí)，我們講過保存數(shù)據(jù)包的操作，保存操作默認(rèn)保存所有已經(jīng)抓取的數(shù)據(jù)包。但有時(shí)候，我們只需要保存指定的數(shù)據(jù)包，這時(shí)候可以使用導(dǎo)出的功能。

1）導(dǎo)出單個(gè)數(shù)據(jù)包

選中數(shù)據(jù)包，點(diǎn)擊左上角的「文件」，點(diǎn)擊「導(dǎo)出特定分組」。

在「導(dǎo)出分組界面」，選擇第二個(gè) 「Selected packets only」，只保存選中的數(shù)據(jù)包。

2）導(dǎo)出多個(gè)數(shù)據(jù)包

有時(shí)候我們需要導(dǎo)出多個(gè)數(shù)據(jù)包，Wireshark有一個(gè)導(dǎo)出標(biāo)記的數(shù)據(jù)包的功能，我們將需要導(dǎo)出的數(shù)據(jù)包都標(biāo)記起來，就可以同時(shí)導(dǎo)出多個(gè)數(shù)據(jù)包。

點(diǎn)擊左上角的「文件」，點(diǎn)擊「導(dǎo)出特定分組」。

在「導(dǎo)出分組界面」，勾選第三個(gè) 「Marked packets only」，只導(dǎo)出標(biāo)記的數(shù)據(jù)包。

6. 開啟混雜模式

局域網(wǎng)的所有流量都會(huì)發(fā)送給我們的電腦，默認(rèn)情況下，我們的電腦只會(huì)對(duì)自己mac的流量進(jìn)行解包，而丟棄其他mac的數(shù)據(jù)包。
開啟混雜模式后，我們就可以解析其他mac的數(shù)據(jù)包，因此，我們使用Wireshark時(shí)，通常都會(huì)開啟混雜模式。

點(diǎn)擊菜單欄的「捕獲」按鈕，點(diǎn)擊「選項(xiàng)」。

勾選 在所有接口上使用混雜模式。

六、過濾器操作

過濾器是Wireshark的核心功能，也是我們平時(shí)使用最多的一個(gè)功能。

Wireshark提供了兩個(gè)過濾器：抓包過濾器 和 顯示過濾器。兩個(gè)過濾器的過濾思路不同。

1. 抓包過濾器：重點(diǎn)在動(dòng)作，需要的包我才抓，不需要的我就不抓。
2. 顯示過濾器：重點(diǎn)在數(shù)據(jù)的展示，包已經(jīng)抓了，只是不顯示出來。

1. 抓包過濾器

抓包過濾器在抓包前使用，它的過濾有一個(gè)基本的語法格式：BPF語法格式。

1）BPF語法

BPF（全稱 Berkeley Packet Filter），中文叫伯克利封包過濾器，它有四個(gè)核心元素：類型、方向、協(xié)議 和 邏輯運(yùn)算符。

1. 類型Type：主機(jī)（host）、網(wǎng)段（net）、端口（port）
2. 方向Dir：源地址（src）、目標(biāo)地址（dst）
3. 協(xié)議Proto：各種網(wǎng)絡(luò)協(xié)議，比如：tcp、udp、http
4. 邏輯運(yùn)算符：與（ && ）、或（ || ）、非（ ！）

四個(gè)元素可以自由組合，比如：

• src host 192.168.31.1：抓取源IP為 192.168.31.1 的數(shù)據(jù)包
• tcp || udp：抓取 TCP 或者 UDP 協(xié)議的數(shù)據(jù)包

2）使用方式

使用抓包過濾器時(shí)，需要先停止抓包，設(shè)置完過濾規(guī)則后，再開始抓包。

停止抓包的前提下，點(diǎn)擊工具欄的捕獲按鈕，點(diǎn)擊選項(xiàng)。

在彈出的捕獲選項(xiàng)界面，最下方的輸入框中輸入過濾語句，點(diǎn)擊開始即可抓包。

提示：抓包過濾器的輸入框，會(huì)自動(dòng)檢測(cè)語法，綠色代表語法正確，紅色代表語法錯(cuò)誤。

2. 顯示過濾器

顯示過濾器在抓包后或者抓包的過程中使用。

1）語法結(jié)構(gòu)

顯示過濾器的語法包含5個(gè)核心元素：IP、端口、協(xié)議、比較運(yùn)算符和邏輯運(yùn)算符。

1. IP地址：ip.addr、ip.src、ip.dst
2. 端口：tcp.port、tcp.srcport、tcp.dstport
3. 協(xié)議：tcp、udp、http
4. 比較運(yùn)算符：> < == >= <= !=
5. 邏輯運(yùn)算符：and、or、not、xor（有且僅有一個(gè)條件被滿足）

5個(gè)核心元素可以自由組合，比如：

• ip.addr == 192.168.32.121：顯示IP地址為 192.168.32.121 的數(shù)據(jù)包
• tcp.port == 80 ：顯示端口為 80 的數(shù)據(jù)包

2）使用方式

在過濾欄輸入過濾語句，修改后立即生效。

提示：過濾欄有自動(dòng)糾錯(cuò)功能，綠色表示語法正確，紅色表示語法錯(cuò)誤。

總結(jié)

以上是生活随笔為你收集整理的Wireshark零基础使用教程（超详细）(wireshark)的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。