Wireshark簡介：

Wireshark是一款最流行和強(qiáng)大的開源數(shù)據(jù)包抓包與分析工具，沒有之一。在SecTools安全社區(qū)里頗受歡迎，曾一度超越Metasploit、Nessus、Aircrack-ng等強(qiáng)悍工具。該軟件在網(wǎng)絡(luò)安全與取證分析中起到了很大作用，作為一款網(wǎng)絡(luò)數(shù)據(jù)嗅探與協(xié)議分析器，已經(jīng)成為網(wǎng)絡(luò)運(yùn)行管理、網(wǎng)絡(luò)故障診斷、網(wǎng)絡(luò)應(yīng)用開發(fā)與調(diào)試的必用工具。

?上面是wireshark的主窗口，分三大主塊：Packlist List（數(shù)據(jù)包列表）、Packet Details（數(shù)據(jù)包細(xì)節(jié)）、Packet Bytes（數(shù)據(jù)包字節(jié)）。

首選項(xiàng)設(shè)置

在wireshark的首選項(xiàng)里有很多設(shè)置，以方便定制，可在菜單欄的Edit里的Preferences里設(shè)置，其界面如下：

包括這幾個部分：User Intereface（用戶接口）、Capture（捕獲）、Name Resolutions（名字解析）、Statistics（統(tǒng)計）、Protocols（協(xié)議）

查找數(shù)據(jù)包：

按ctrl+N打開查找對話框

?

可以看到有三種查詢條件：

• Display filter 通過表達(dá)式進(jìn)行篩選，其功能強(qiáng)大，后面有具體介紹，如ip.addr==192.168.1.23
• Hex value 通過十六進(jìn)制對數(shù)據(jù)包進(jìn)行篩選,如00:ff
• String 通過字符串進(jìn)行查找,如passwd

按ctrl+N向下查找，按ctrl+B向前查找。其實(shí)wireshark的使用說明已經(jīng)做的非常非常的人性化的，它的所有設(shè)置窗口都有在線的幫助說明，上面是左下角的“Help”就是。而且是英文的，那么問題來了，你是到底啥不懂呢？

標(biāo)記數(shù)據(jù)包：

在Packet List中選中一個數(shù)據(jù)包，右鍵選擇Mark Packet就可以將該數(shù)據(jù)包標(biāo)記，標(biāo)記后該數(shù)據(jù)包會高亮顯示?？旖萱I是選中一個數(shù)據(jù)包，按ctrl+M，取消標(biāo)記同樣是ctrl+M，

在多個被標(biāo)記的數(shù)據(jù)之間切換可用shift+ctrl+N、shift+ctrl+B。

捕獲設(shè)置：

啟動Wireshark后，在左邊的網(wǎng)絡(luò)接口里的Capture Optiion可以用來設(shè)置各種數(shù)據(jù)包抓取規(guī)則。

• 在‘1’處設(shè)置網(wǎng)絡(luò)接口，可以選擇一個接口雙擊，彈出該接口的具體設(shè)置信息（如下圖）。這里可以設(shè)置是否開啟混雜模式，是否以pcap-ng格式捕獲數(shù)據(jù)包，以及按字節(jié)數(shù)限制每個捕獲數(shù)據(jù)包的大小。

• 在‘3’捕獲文件的設(shè)置：這里提供了過濾規(guī)則，各種觸發(fā)器（基于文件大小或時間），其中的Ring Buffer With選項(xiàng)可以設(shè)置環(huán)形緩沖創(chuàng)建文件，采用FIFO原則，只保留所設(shè)定的文件數(shù)目，從而只會捕獲指定的數(shù)據(jù)包數(shù)，不會因?yàn)榇罅繑?shù)據(jù)包占用大量空間。
• 在‘4’停止捕獲：同樣的，可以以文件大小、時間或者數(shù)據(jù)包數(shù)目為觸發(fā)條件，停止數(shù)據(jù)包捕獲。
• 在‘5’顯示設(shè)置的相關(guān)設(shè)置。注意實(shí)時顯示會增加CPU負(fù)荷，可以取消該項(xiàng)。
• 在‘6’名字解析.MAC地址解析，嘗試將數(shù)據(jù)鏈路層的MAC地址解析成網(wǎng)絡(luò)層的IP，如果解析失敗，則會按MAC地址前三個字節(jié)轉(zhuǎn)換成設(shè)定制造商的名稱，如Netgear_01:02:03;網(wǎng)絡(luò)名字解析：嘗試使用DNS協(xié)議，將IP地址解析成主機(jī)名，注意這會產(chǎn)生格外的DNS流量;傳輸名字解析：嘗試將端口號解析成與其相關(guān)的名字，如80端口轉(zhuǎn)換成http顯示。

?查看端點(diǎn)與會話：

在wireshark的Endpoints窗口里（Statistics -> Endpoints）已經(jīng)統(tǒng)計出了每一個端點(diǎn)的地址、傳輸發(fā)送數(shù)據(jù)包的數(shù)量u以及字節(jié)數(shù)。這里一個很有用的地方是：單擊一個數(shù)據(jù)包右鍵，在相關(guān)選項(xiàng)里有該數(shù)據(jù)包的過濾語法規(guī)則，很值得學(xué)習(xí)，對于過濾規(guī)則學(xué)習(xí)很有用！！

?

網(wǎng)絡(luò)會話是指地址A與地址B之間的會話，同樣地，可以右鍵單擊一個會話，用以創(chuàng)建一些有用的過濾規(guī)則?？梢栽赟tatistics -> Conversations里查看。

協(xié)議數(shù)據(jù)的分層統(tǒng)計：

?有時需要分析捕獲數(shù)據(jù)包中各協(xié)議所占的比例，以分析網(wǎng)絡(luò)流量是否正常。此時可以選擇Statistics->Protocol Hierarchy。

?

?跟蹤TCP數(shù)據(jù)流：

burpsuite的功能相似，Wireshark也有TCP流量重組功能。右鍵單擊一個數(shù)據(jù)包選擇Follw TCP/UDP Stream即可重組出數(shù)據(jù)流交互過程。其中紅色表示從源地址發(fā)往目標(biāo)地址，藍(lán)色反之。

wireshark的入門就簡單到這里了。我只是簡單的介紹了一下，其功能十分強(qiáng)大，是數(shù)據(jù)包分析的一大利器！！要想深入學(xué)習(xí)，還需要使用者去探索嘗試，特別是在實(shí)戰(zhàn)中的應(yīng)用，有很多的樂趣哦。后期將繼續(xù)講解wireshark高級過濾的實(shí)戰(zhàn)應(yīng)用，也歡迎各位感興趣的同學(xué)一起交流技術(shù)：）

轉(zhuǎn)載于:https://www.cnblogs.com/lingerhk/p/4075239.html

總結(jié)

以上是生活随笔為你收集整理的Wireshark数据包分析(一)——使用入门的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。