Wireshark的安装和使用
- 前言
- 一、Wireshark是什么
- 简介
- 二、下载Wireshark
- 下载过程
- 查看自己电脑配置
- 三、安装Wireshark
- 安装过程
- 安装组件
- 创建快捷方式
- winPacp
- Npcap
- 打开检验
- 四、使用Wireshark实施抓包
- 捕获数据包
- 五、基于Wireshark使用显示过滤器
- 简介
- 使用方法
- 注意
- ICMP的请求和应答
- 六、数据包的层次结构
- 简介
前言
Wireshark是一个免费开源的网络协议分析工具。它可以捕获网络数据包,并提供详细的协议分析和网络流量监控功能。
一、Wireshark是什么
简介
Wireshark是一个免费开源的网络协议分析工具。它可以捕获网络数据包,并提供详细的协议分析和网络流量监控功能。Wireshark可以用于分析和解决网络故障、调试网络协议、检测网络安全问题等。它支持多种操作系统,包括Windows、Mac和Linux,并提供图形化界面和命令行界面供用户使用。Wireshark是网络工程师和安全专家常用的工具之一。
二、下载Wireshark
下载过程
先打开wireshark的官方网站——wireshark
点击Dowload Wireshark
按照自己电脑的配置进行下载
显示下载完成
查看自己电脑配置
三、安装Wireshark
安装过程
双击下载的文件,出现下面画面,点击仍然安装
点击next
点击noted
点击next
安装组件
按照自己的需要选择安装组件
创建快捷方式
创建快捷方式
- 第一个是创建开始菜单项
- 第二个是创建桌面图标
- 第三个是联系拓展名,就是将下面拓展名默认用wireshark打开
选择安装位置,尽量不要选择c盘
winPacp
安装winPacp(默认安装)
安装USB 按照自己需要
Npcap
点击I Agree
按照自己需求勾选
- 第一个是将Npcap访问权限仅限于管理员
- 第二个是支持原来的802.11 无线适配器的通信(和监视模式)
- 第三个是在WinPcap API 兼容模式下安装
点击next和finish
打开检验
然后我们就可以在桌面上看到了
右键管理员打开,或者双击打开,双击打开可能会出现弹窗,点击是就行
四、使用Wireshark实施抓包
捕获数据包
安装好 Wireshark 以后,就可以运行它来捕获数据包了。方法如下:
先打开wireshark,下图为 Wireshark 的主界面,界面中显示了当前可使用的接口,例如,以太网2、本地连接 9 等。要想捕获数据包,必须选择一个接口,表示捕获该接口上的数据包。
选择捕获“WLAN”接口上的数据包,然后单击左上角的“开始捕获分组”按钮,将进行捕获网络数据
开始捕获与停止捕获
“WLAN”接口的数据将会被 Wireshark 捕获到,捕获的数据包如图所示。Wireshark 将一直捕获“本地连接”上的数据。如果不需要再捕获,可以单击左上角的“停止捕获分组”按钮,停止捕获。
五、基于Wireshark使用显示过滤器
简介
默认情况下,Wireshark 会捕获指定接口上的所有数据,并全部显示,这样会导致在分析这些数据包时,很难找到想要分析的那部分数据包。这时可以借助显示过滤器快速查找数据包。
显示过滤器是基于协议、应用程序、字段名或特有值的过滤器,可以帮助用户在众多的数据包中快速地查找数据包,可以大大减少查找数据包时所需的时间。
使用方法
使用显示过滤器,需要在 Wireshark 的数据包界面中输入显示过滤器并执行,我们选择 ping 百度:
用户可以在框框中输入显示过滤器,进行数据查找,也可以根据协议过滤数据包,我输入ip.addr == 180.101.50.188,然后开始捕获,在开始ping 百度,输出如下捕获到的信息:
注意
注意:要先开始捕获,再ping
ICMP的请求和应答
请求类型
六、数据包的层次结构
简介
任何捕获的数据包都有它自己的层次结构,Wireshark 会自动解析这些数据包,将数据包的层次结构显示出来,供用户进行分析。这些数据包及数据包对应的层次结构分布在 Wireshark 界面中的不同面板中。
使用 Wireshark 捕获数据包,界面如图所示。
上图中所显示的信息从上到下分布在 3 个面板中,每个面板包含的信息含义如下:
- Packet List 面板:上面部分,显示 Wireshark 捕获到的数据包。
- Packet Details 面板:中间部分,显示一个数据包的详细内容信息,并且以层次结构进行显示。这些层次结构默认是折叠起来的,用户可以展开查看详细的内容信息。
- Packet Bytes 面板:下面部分,显示一个数据包未经处理的原始样子,数据是以十六进制和 ASCII 格式进行显示。
以 ICMP 协议数据包为例,也就是 ping 百度过滤到的数据包,了解该数据包的层次结构
其中,编号 79的数据包是一个 ICMP 协议数据包。此时在 Packet Details 面板上显示的信息就是该数据包的层次结构信息。这里显示了 4 个层次,每个层次的含义如下:
- Frame:该数据包物理层的数据帧概况。
- Ethernet II:数据链路层以太网帧头部信息。
- Internet Protocol Version 4:网际层 IP 包头部信息。
- Internet Control Message Protocol:网际层 控制报文协议应答消息。
由此可见,Wireshark 对 HTTP 协议数据包进行解析,显示了 HTTP 协议的层次结构。
用户对数据包分析就是为了查看包的信息,展开每一层,可以查看对应的信息。例如,查看网际层 信息,展开 Internet Control Message Protocol 层,显示信息如下:
可以以类似的方法分析其他数据包的层次结构。
