Wireshark(以前叫Ethereal)是一個網絡封包分析軟件。網絡封包分析軟件的功能是抓取網絡封包，并盡可能地顯示出詳細的網絡封包信息。Wireshark使用WinPCAP作為接口，直接與網卡進行數據報文交換。

基礎界面介紹

Wireshark軟件界面有以下幾個功能區域：

· 菜單欄：對Wireshark軟件進行各種配置操作，例如：保存捕獲的報文。

· 工具欄：快速調用一些常用的操作，例如：開始捕獲、停止捕獲、設置捕獲接口等。

· 過濾欄：在過濾欄設置過濾條件，軟件界面會根據過濾條件顯示需要查看的報文。

· 報文捕獲區：查看捕獲的報文。

· 報文封裝區：查看報文的封裝協議。

· 報文內容區：查看報文的具體內容

啟動抓包軟件以后，選擇好相應的網卡，雙擊需要抓包的網卡， 如以太網(服
務器一般有多網卡，請確認需要抓包的網卡后再進行抓包，一般查看下面是否有波浪線
即可判斷該網卡有無流量產生。)

點擊抓包接口之后，就可以看到實時接收的報文。Wireshark會自動捕捉系統發送和接收的每一個報文。工具欄：控制監控的行為，比如開始抓包，停止抓包，重新開始抓包，以及在包之間跳轉等等。

報文分析

相關報文就可以分析了，可以使用一些命令分類出相應的報文 ，舉例：

基于源IP地址過濾： ip.src_host==x.x.x.x

基于目標IP地址過濾： ip.dst_host==x.x.x.x

基于源tcp端口過濾： tcp.srcport==80、tcp.dstport == 80，||代表“或”語句

基于協議，如arp、tcp、udp、http、ospf、rip等均可直接輸入協議名進行過濾

幾種常見的過濾規則(含義：C語言/英文)，使用時兩種語法均可使用：

等于：== / eq ; 不等于：!= / ne

小： < / lt ；大于：> / gt

小于等于：<= / le ； 大于等于：>= / ge

邏輯與(且)：&& / and

邏輯或：|| / or

邏輯非：！/not

捕獲器過濾

以上是針對抓取報文后進行分析過濾的方法。

對于需要長時間抓包或者短時間內會產生大量流量的場景，單獨一個數據包的容量會非常大，造成后期傳輸以及打開等方面使用不方便，此時需要用到分片抓包功能，使得數據包按需求進行分段，步驟如下：
1、 啟動 wireshark ，點擊菜單欄上的“捕獲( Capture)”，點擊第一個菜單選項( Option)進入選項頁。

2、在打開的選項卡中點擊輸入選項，選擇需要抓包的網卡 ，同時可在過濾器設置過濾條件(直接抓取過濾)。比如語句：(host 12.1.1.1 or host 12.1.1.2 || host 12.1.1.1) and port 80 or port 21

此處過濾器條件與前面直接抓取后報文過濾器的字段表示格式有所不同，可參考自帶索引：

在“輸出”選項，設置保存位置和文件名，設置文件分片條件，可以基于文件大小(如抓取報文達到100M后分割，開始建立下一個報文，依次類推)、時長等：

在“選項”處，設置捕獲停止條件，可以基于分組個數或時長。之后點擊開始即可：

Wireshark是目前業界網絡(系統)運維、應用開發等領域比較常用和通用一款報文獲取和分析軟件，對于網絡分析和排障非常實用。要想深入研究使用該工具，需要對整個TCP/IP協議和業務應用協議非常了解。

總結

以上是生活随笔為你收集整理的wireshark 查看端口是否正常_网络抓包软件-Wireshark使用分享的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。