网络抓包工具--wireshark_抓网口报文的软件

网络抓包工具–wireshark

一.wireshark介绍

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。
此工具支持多种网络接口类型，捕捉多种网络接口类型的包。

wireshark是一款开源的软件，请自行到网站下载。
下载地址：
https://www.wireshark.org/download/

二.wireshark使用方法

1.打开界面

2.选择抓包接口

注意：工具使用时，部分使用者可能会遇到找不到wifi的无线网卡，原因是因为没有打开npf服务，可以尝试打开cmd窗口，执行net start npf，关闭wireshark后重新打开即可。

3.包摘要信息
No. 包的编号，编号不会发生改变，即使进行了过滤也同样如此

Time 包的时间戳。包时间戳的格式可以自行设置

Source 显示包的源地址。

Destination 显示包的目标地址。

Protocal 显示包的协议类型的简写

Info 包内容的附加信息

注：打开抓包工具，浏览csdn网站，查看抓包内容
如图

包详情（中包的协议及协议字段，协议及字段以树状方式组织。你可以展开或折叠它们），包字节（通常在16进制转储形式中，左侧显示包数据偏移量，中间栏以16进制表示，右侧显示为对应的ASCII字符根据包数据的不同）

捕获/选项 更改捕捉的网络接口

4.过滤包
a.ip过滤
过滤出源ip和目标ip的包：ip.addr == 47.95.164.112
如图：

过滤源ip：ip.src == 47.95.164.112

过滤目标ip ：ip.dst == 47.95.164.112

b.端口过滤
过滤tcp端口80的包（包括源和目标）tcp.port == 443

过滤tcp源端口：tcp.srcport == 80

过滤tcp目标端口 : tcp.dstport == 443

过滤端口区间：tcp.port >= 443 && tcp.port < 1000

c.协议过滤
直接填写需要过滤的协议即可

d.包长度过滤
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和

tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身

ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后

frame.len == 119 整个数据包长度,从eth开始到最后

d.http模式过滤
http.request.method == “POST”

http.request.method == “GET”

http.request.uri == “/img/logo-edu.gif”

http contains “GET”

http contains “HTTP/1.”

e.tcp参数过滤
tcp.flags 显示包含TCP标志的封包

tcp.flags.syn == 0x02 显示包含TCP SYN标志的封包

tcp.window_size == 0 && tcp.flags.reset != 1

上述过滤方法可以通过与或随机组合过滤。

本文简单介绍下wireshark的基本内容和常见使用方法，如需详细了解此软件，请浏览wireshark的用户手册
http://man.lupaworld.com/content/network/wireshark/index.html