wireshark怎么抓包wireshark抓包詳細(xì)圖文教程

1、wireshark怎么抓包、wireshark抓包詳細(xì)圖文教程wireshark是非常流行的網(wǎng)絡(luò)封包分析軟件，功能十分強(qiáng)大?？梢越厝「鞣N網(wǎng)絡(luò)封包，顯示網(wǎng)絡(luò)封包的詳細(xì)信息。使用wireshark的人必須了解網(wǎng)絡(luò)協(xié)議，否則就看不懂wireshark了。為了安全考慮，wireshark只能查看封包，而不能修改封包的內(nèi)容，或者發(fā)送封包。wireshark能獲取HTTP也能獲取HTTPS但是不能解密HTTPS所以wireshark看不懂HTTPS的內(nèi)容，總結(jié)，如果是處理HTTP,HTTPS8是用Fiddler,其他協(xié)議比如TCP,UDP就用wireshark.wireshark開始抓包開始界面wires

2、hark是捕獲機(jī)器上的某一塊網(wǎng)卡的網(wǎng)絡(luò)包，當(dāng)你的機(jī)器上有多塊網(wǎng)卡的時(shí)候，你需要選擇一個(gè)網(wǎng)卡。點(diǎn)擊Caputre-Interfaces.出現(xiàn)下面對(duì)話框，選擇正確的網(wǎng)卡。然后點(diǎn)擊Start按鈕，開始抓包Wireshark窗口介紹WireShark主要分為這幾個(gè)界面1. DisplayFilter（顯示過濾器），用于過濾2. PacketListPane（封包列表），顯示捕獲到的封包，有源地址和目標(biāo)地址，端口號(hào)。顏色不同，代表3. PacketDetailsPane（封包詳細(xì)信息），顯示封包中的字段4. DissectorPane（16進(jìn)制數(shù)據(jù)）5. Miscellanous（地址欄，雜項(xiàng)）使用過濾

3、是非常重要的，初學(xué)者使用wireshark時(shí)，將會(huì)得到大量的冗余信息，在幾千甚至幾萬條記錄中，以至于很難找到自己需要的部分。搞得暈頭轉(zhuǎn)向。過濾器會(huì)幫助我們?cè)诖罅康臄?shù)據(jù)中迅速找到我們需要的信息。過濾器有兩種，一種是顯示過濾器，就是主界面上那個(gè)，用來在捕獲的記錄中找到所需要的記錄一種是捕獲過濾器，用來過濾捕獲的封包，以免捕獲太多的記錄。在Capture-CaptureFilters中設(shè)置保存過濾在Filter欄上，填好Filter的表達(dá)式后，點(diǎn)擊Save按鈕，取個(gè)名字。比如Filter102”,Filter欄上就多了個(gè)Filter102的按鈕。過濾表達(dá)式的規(guī)則表達(dá)式規(guī)則1 .協(xié)議過濾比如TCP只顯

4、示TCP協(xié)議。2 .IP過濾比如=顯示源地址為，=,目標(biāo)地址為3 .端口過濾=80,端口為80的=80,只顯示TCPB議的愿端口為80的。4 .Http模式過濾GET,只顯示HTTPGE此法的。5 .邏輯運(yùn)算符為AND/OR常用的過濾表達(dá)式過濾表達(dá)式用途http只查看HTTPB議的記錄=or=源地址或者目標(biāo)地址是封包列表(PacketListPane)封包列表的面板中顯示，編號(hào)，時(shí)間戳，源地址，目標(biāo)地址，協(xié)議，長度，以及封包信息。你可以看到不同的協(xié)議用了不同的顏色顯示。你也可以修改這些顯示顏色的規(guī)則，View-ColoringRules.封包詳細(xì)信息(PacketDetailsPane)這個(gè)面

5、板是我們最重要的，用來查看協(xié)議中的每一個(gè)字段。各行信息分別為Frame:物理層的數(shù)據(jù)幀概況Ethernetll:數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息InternetProtocolVersion4:互聯(lián)網(wǎng)層IP包頭部信息TransmissionControlProtocol:傳輸層T的數(shù)據(jù)段頭部信息，此處是TCPHypertextTransferProtocol:應(yīng)用層的信息，止匕處是HTTPft、議TCP包的具體內(nèi)容從下圖可以看到wireshark捕獲到的TCFfe中的每個(gè)字段。看到這，基本上對(duì)wireshak有了初步了解，現(xiàn)在我們看一個(gè)TCP三次握手的實(shí)例三次握手過程為這圖我都看過很多遍了，這次我們

6、用wireshark實(shí)際分析下三次握手的過程。打開wireshark,打開瀏覽器輸入在wireshark中輸入http過濾，然后選中GET/tankxiaoHTTP/的那條記錄，右鍵然后點(diǎn)擊FollowTCPStream,這樣做的目的是為了得到與瀏覽器打開網(wǎng)站相關(guān)的數(shù)據(jù)包，將得到如下圖圖中可以看到wireshark截獲到了三次握手的三個(gè)數(shù)據(jù)包。第四個(gè)包才是HTTP勺，這說明HTTP勺確是使用TCF立連接的。第一次握手?jǐn)?shù)據(jù)包客戶端發(fā)送一個(gè)TCP標(biāo)志位為SYN序列號(hào)為0,代表客戶端請(qǐng)求建立連接。如下第二次握手的數(shù)據(jù)包服務(wù)器發(fā)回確認(rèn)包,標(biāo)志位為SYN,ACK.將確認(rèn)序號(hào)(AcknowledgementNumber)設(shè)置為客戶的ISN加1以.即0+1=1,如下圖第三次握手的數(shù)據(jù)包客戶端再次發(fā)