如何使用Wireshark捕获,筛选和检查数据包

Wireshark,一种以前称为Ethereal的网络分析工具,实时捕获数据包,并以人性化的格式显示。 Wireshark包括过滤器,颜色编码和其他功能,让您深入网络流量和检查单个数据包。

本教程将帮助您快速掌握捕获数据包的基础知识,过滤和检查数据包。 您可以使用Wireshark来检查可疑程序的网络流量,分析网络上的流量或排除网络问题。

获得Wireshark

您可以从其官方网站下载Wireshark for Windows或macOS。 如果您正在使用Linux或其他类UNIX系统,则可能会在其软件包存储库中找到Wireshark。 例如,如果您使用Ubuntu,您将在Ubuntu软件中心找到Wireshark。

只是一个快速警告:许多组织不允许在他们的网络上使用Wireshark和类似的工具。 不要在工作中使用此工具,除非您有权限。

捕获数据包

下载并安装Wireshark之​​后,您可以启动它,然后双击Capture下的网络接口名称开始捕获该接口上的数据包。 例如,如果要捕获无线网络上的流量,请单击无线界面。 您可以通过单击捕获>选项来配置高级功能,但现在不需要。

只要您单击界面的名称,您将看到数据包开始实时显示。 Wireshark捕获发往或从您的系统发送的每个数据包。

如果您启用了混杂模式 - 默认情况下启用 - 您还可以看到网络上的所有其他数据包,而不仅仅是寻址到网络适配器的数据包。 要检查是否启用混杂模式,请单击“捕获”>“选项”,并验证“在所有接口上启用混杂模式”复选框在此窗口的底部。

当您想要停止捕获流量时,点击窗口左上角附近的红色“停止”按钮。

彩色编码

您可能会看到以各种不同颜色突出显示的数据包。 Wireshark使用颜色帮助您一目了然地识别流量类型。 默认情况下,浅紫色是TCP流量,浅蓝色是UDP流量,黑色标识出错误的数据包,例如,它们可能已被无序传送。

要查看颜色代码的含义,请单击“查看”>“着色规则”。 如果您愿意,也可以从这里自定义和修改着色规则。

样本捕获

如果您自己的网络没有什么有趣的检查,Wireshark的wiki已经覆盖了。 该wiki包含一个可以加载和检查的示例捕获文件页面 单击文件>在Wireshark中打开并浏览下载的文件以打开它。

您还可以将自己的捕获保存在Wireshark中,然后再打开它们。 单击文件>保存以保存捕获的数据包。

过滤数据包

如果您正在检查某些特定的内容,例如程序在家庭打电话时发送的流量,则可以使用网络关闭所有其他应用程序,以便缩小流量。 不过,您可能会有大量的数据包进行筛选。 那就是Wireshark滤镜进来的地方。

应用过滤器的最基本方法是将其输入到窗口顶部的过滤器框中,然后单击应用(或按Enter)。 例如,键入“dns”,您将只看到DNS数据包。 当您开始打字时,Wireshark将帮助您自动完成过滤器。

您还可以单击分析>显示过滤器从Wireshark中包含的默认过滤器中选择一个过滤器。 从这里,您可以添加自己的自定义过滤器并保存,以便将来轻松访问它们。

有关Wireshark显示过滤语言的更多信息,请阅读官方Wireshark文档中的“ 构建显示过滤器表达式”页面。

您可以做的另一个有趣的事情是右键单击数据包,然后选择“跟踪”>“TCP流”。

您将看到客户端和服务器之间的完整的TCP对话。 您还可以在“跟踪”菜单中单击其他协议,以查看其他协议的完整对话(如果适用)。

关闭窗口,您会发现自动应用过滤器。 Wireshark正在向您展示组成对话的数据包。

检查数据包

点击一个数据包选择它,你可以挖掘来查看它的细节。

您也可以从这里创建过滤器 - 只需右键单击其中一个详细信息,然后使用“应用为过滤器”子菜单即可根据此过滤器创建过滤器。


Wireshark是一个非常强大的工具,而这个教程只是划破了你可以做的事情。 专业人士使用它来调试网络协议实现,检查安全问题并检查网络协议内部。

您可以在Wireshark官方网站的官方Wireshark用户指南其他文档页面上找到更多详细信息。

如何使用Wireshark捕获,过滤和检查数据包

Wireshark,一种以前称为Ethereal的网络分析工具,实时捕获数据包,并以人类可读的格式显示它们。 Wireshark包括过滤器,颜色编码和其他功能,让您深入到网络流量和检查个别数据包。

本教程将帮助您快速了解捕获数据包,过滤和检查数据包的基础知识。 您可以使用Wireshark检查可疑程序的网络流量,分析网络上的流量或排除网络问题。

获取Wireshark

您可以从Wireshark的下载适用于Windows或Mac OS X 在其官方网站 如果你使用Linux或其他类似UNIX的系统,你可能会在其软件包存储库中找到Wireshark。 例如,如果你使用Ubuntu,你会在Ubuntu软件中心找到Wireshark。

只是一个快速警告:许多组织不允许在他们的网络Wireshark和类似的工具。 除非获得许可,否则不要在工作中使用此工具。

捕获数据包

下载并安装Wireshark后,您可以启动它,并在接口列表下单击接口的名称,以开始捕获该接口上的数据包。 例如,如果要捕获无线网络上的流量,请单击无线接口。 您可以通过单击“捕获选项”配置高级功能,但现在不需要。

一旦您单击界面的名称,您将看到数据包开始实时显示。 Wireshark捕获发送到您的系统或从您的系统发送的每个数据包。 如果您在无线接口捕获并在捕获选项中启用混杂模式,您还会在网络上看到其他数据包。

当您要停止捕获流量时,点击窗口左上角附近的停止捕获按钮。

颜色编码

您可能会看到以绿色,蓝色和黑色突出显示的数据包。 Wireshark使用颜色帮助您一目了然地识别交通的类型。 默认情况下,绿色是TCP流量,深蓝色是DNS流量,浅蓝色是UDP流量,黑色标识具有问题的TCP数据包 - 例如,它们可能是无序传送的。

示例捕获

如果你自己的网络没有什么有趣的检查,Wireshark的wiki你覆盖。 维基包含的样本捕获文件页面 ,你可以加载和检查。

打开捕获文件很容易; 只需在主屏幕上单击打开并浏览一个文件。 您还可以在Wireshark中保存自己的捕获,并稍后打开它们。

过滤数据包

如果您要检查特定的内容(例如程序在打电话时发送的流量),则有助于关闭使用网络的所有其他应用程序,以便缩小流量。 不过,你可能有大量的数据包要筛选。 这就是Wireshark的过滤器。

应用过滤器的最基本的方法是将其输入到窗口顶部的过滤器框中,然后单击应用(或按Enter键)。 例如,键入“dns”,您将只看到DNS数据包。 当您开始输入时,Wireshark将帮助您自动填充您的过滤器。

您也可以单击分析菜单,然后选择显示过滤器以创建新的过滤器。

另一个有趣的事情,你可以做的是右键单击数据包,然后选择跟随TCP流。

您将看到客户端和服务器之间的完整会话。

关闭窗口,你会发现一个过滤器已经自动应用 - Wireshark显示你的数据包组成的对话。

检查数据包

单击一个数据包以选择它,您可以向下查看其详细信息。

您也可以从这里创建过滤器 - 只需右键单击其中一个细节,并使用应用为过滤器子菜单根据它创建过滤器。


Wireshark是一个非常强大的工具,这个教程只是划伤你可以做的事情的表面。 专业人员使用它来调试网络协议实现,检查安全问题和检查网络协议内部。

赞 (1)
分享到:更多 ()