wireshark抓包介绍_20140513.docx

Wireshark抓包工具使用教程以及常用抓包规则2011-12-06 10:15:52标签：抓包?休闲?工具?Wireshark?无盘?Wireshark是一个非常好用的抓包工具，当我们遇到一些和网络相关的问题时，可以通过这个工具进行分析，不过要说明的是，这只是一个工具，用法是非常灵活的，所以今天讲述的内容可能无法直接帮你解决问题，但是只要你有解决问题的思路，学习用这个软件就非常有用了。Wireshark官方下载地址：/download.html如果记不住，可以在百度中输入Wir就可以看到百度智能匹配的关键词了，选择第一个地址进去下载即可。简单介绍下这个软件的一些常用按钮，因为本人也是接触这个软件不久，所以就简单的说下最常用的按钮好了，打开软件后，下面红框中的按钮从左到右依次是：-列表显示所有网卡的网络包情况，一般用的很少；-显示抓包选项，一般都是点这个按钮开始抓包；-开始新的抓包，一般用的也很少；-停止抓包，当你抓完包之后，就是点这个停止了；-清空当前已经抓到的数据包，可以防止抓包时间过长机器变卡；而实际上，一般我们只要知道上面加粗部分的按钮功能，就可以完成抓包了，剩下的就是如何抓你想要的数据包，如何分析的问题了。接下来说下抓包选项界面，也就是点第二个按钮出来的界面，同样，这里也只介绍最常用的几个功能，首先下图中最上面的红框是选择需要抓的网卡，选择好网卡后会在下面显示这个网卡的IP地址。然后Capture Filter中就是要写抓包规则的地方，也叫做“过滤规则”，我们下面要说的很多规则都是要写到这个框里的，规则写好后，点下面的Start就开始抓包了。当抓包结束之后，如果你需要把抓到的数据包找其他人分析，那么可以点菜单上的file，然后点Save As保存抓到的数据包，如下图：ok，到这里，基础的使用方法说完了，接下来步入很关键的内容。使用Wireshark时最常见的问题，是当您使用默认设置时，会得到大量冗余信息，以至于很难找到自己需要的部分。这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。过滤器的区别捕捉过滤器（CaptureFilters）：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。显示过滤器（DisplayFilters）：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。那么我应该使用哪一种过滤器呢？两种过滤器的目的是不同的。捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。显示过滤器是一种更为强大（复杂）的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。两种过滤器使用的语法是完全不同的。捕捉过滤器Protocol（协议）:可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果没有特别指明是什么协议，则默认使用所有支持的协议。Direction（方向）:可能的值: src, dst, src and dst, src or dst如果没有特别指明来源或目的地，则默认使用 “src or dst” 作为关键字。例如，”host ″与”src or dst host ″是一样的。Host(s):可能的值： net, port, host, portrange.如果没有指定此值，则默认使用”host”关键字。例如，”src ″与”src host ″相同。Logical Operations（逻辑运算）:可能的值：not, and, or.否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至右进行。例如，“not tcp port 3128 and tcp port 23″与”(not tcp port 3128) and tcp port 23″相同。“not tcp port 3128 and tcp port 23″与”not (tcp port 3128 and tcp port 23)”不同。例子：tcpdst port 3128??//捕捉目的TCP端口为3128的封包。ipsrc host ??//捕捉来源IP地址为的封包。host ??//捕捉目的或来源IP地址为的封包。ether host e0-05-c5-44-b1-3c?//捕捉目的或来源MAC地址为e0-05-c5-44-b1-3c的封包。如果你想抓本机与所有外网通讯的数据包时，可以将这里的mac地址换成路由的mac地址即可。srcportrange 2000-2500??//捕捉来源为UDP或TCP，并且端口号在2000至2500范围内的封包。not imcp??//显示除了icmp以外的