WireShark抓包使用

WireShark

是一个开源抓包工具或者叫网络嗅探器，用于分析网络流量和分析数据包。显示了网络模型中的第 2 层到第 5 层（链路层、网络层、传输层、应用层）。

一、WireShark 的使用

1.选择监听的网络

选择的是无线网WAN：
点进去，能够看到数据包在不停的刷，那么就表明你选择的网络是正确的。

2.WireShark 界面简单介绍

• 菜单栏
• 工具栏
• 数据包列表面板
• 数据包详细详细面板
• 数据包字节信息面板
  

3.开始抓包和停止抓包

如果想要停止抓包，就点击：

抓包过程中想要清空抓包列表，就点击：

4.抓包信息分析

可以双击打开这个报文，得到这样的界面：

• Frame 1752：数据帧，编号为1752，数据帧就是我们抓到的这个包发送的数据，1506字节，代表发送数据的大小有1506字节的大小。
  

• Ethernet II, Src: NewH3CTe_d6:f1:50 (10:19:65:d6:f1:50), Dst: LiteonTe_5a:aa:3d (58:00:e3:5a:aa:3d)：以太网、二层，源目mac地址分别为(10:19:65:d6:f1:50)和(58:00:e3:5a:aa:3d)。
  

• Internet Protocol Version 4, Src: 59.39.0.162, Dst: 172.16.1.136：ipv4、三层，源目ip地址分别为59.39.0.162和172.16.1.136
  

• Transmission Control Protocol, Src Port: 443, Dst Port: 53918, Seq: 67572, Len: 1452：TCP协议，源目端口号分别为443和53918，序列号为67572，数据长度为1452
  

5.WireShark 过滤器

第一个是捕获过滤器，另一个是显示过滤器。

链路层协议

显示 ARP 流量：

arp

显示从 MAC 地址为58:00:e3:5a:aa:3d的设备发送的 ARP 协议帧：

arp.src.hw_mac ==58:00:e3:5a:aa:3d

显示从 IP 地址为172.16.1.136的设备发送的 ARP 协议帧：

arp.src.proto_ipv4 == 172.16.1.136

显示以太网流量：

eth

网络层协议

源IP地址：

ip.src ==172.16.1.136

目标IP地址：

ip.dst ==172.16.1.136

指定 IP 地址，不论其是源ip还是目的ip：

ip.addr ==172.16.1.136

显示 IPv6 流量：

ipv6

传输层协议(tcp/udp)

查看 TCP 流量：

tcp

tcp 源端口 443 的流量:

tcp.srcport == 443

tcp 目的端口 443 的流量：

tcp.dstport == 443

tcp 指定端口443的流量，不论其是源端口还是目的端口：

tcp.port==443
tcp.srcport == 443 || tcp.dstport == 443

应用层协议

查看 HTTP 流量：

http

查看 HTTP POST请求 流量：

http.request.method == “POST”

查看 HTTP GET请求 流量：

http.request.method == “GET”

查看所有 DNS 请求和响应：

dns

6.保存WireShark文件

我们在抓完一段时间的后想要保存抓包过程，我们可以在停止抓包后Ctrl + S进行保存，或者点击开始抓包，会提示你是否保存;
一旦保存成功，会在指定目录生成一个后缀名为.pcapng的抓包文件。