wireshark网络抓包详解 _wireshark

一、简介

Wireshark是一款非常流行的网络封包分析软件，可以截取各种网络数据包，并显示数据包详细信息。

为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容

二、安装2.1、安装地址

Wireshark开源地址：https://github.com/wireshark/wireshark
Wireshark下载地址：https://www.wireshark.org/download

安装的话，就是傻瓜式的一步步点鼠标安装，没什么可说的了，安装步骤这里就省略了。
三、抓包示例3.1、Wireshark抓包简单流程
1）主界面

文章插图

2）3.2、选择菜单栏上【捕获】 -> 【选项】，当然也可以点击【捕获选项】的图标一步到位，勾选【WLAN】网卡（这里需要根据各自电脑网卡使用情况选择，简单的办法可以看使用的IP对应的网卡），点击【开始】，启动抓包。

文章插图

3）wireshark启动后，wireshark处于抓包状态中。

文章插图

4）在window CMD命令行ping baidu.com

文章插图

5）通过在过滤栏设置过滤条件进行数据包列表过滤，以免抓取无用包影响查看，这里就以ping baidu.com为例，只过滤百度的ip，设置如下：

ip.addr == 39.156.69.79 and icmp

表示只显示ICPM协议且源主机IP或者目的主机IP为39.156.69.79的数据包。注意：协议名称icmp要小写。

文章插图

关于Wireshark抓包流程就是如上步骤。
3.2、Wireshark抓包界面介绍

文章插图

说明：数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏【视图】-> 【着色规则】。如下所示：

文章插图

WireShark 主要分为这几个界面：
1）Display Filter(显示过滤器)，用于设置过滤条件进行数据包列表过滤。菜单路径：【分析】-> 【Display Filters】。

文章插图

2）Packet List Pane(数据包列表)，显示捕获到的数据包，每个数据包包含编号，时间戳，源地址，目标地址，协议，长度，以及数据包信息。不同协议的数据包使用了不同的颜色区分显示。

文章插图

3）Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包，在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的，用来查看协议中的每一个字段。各行信息分别为：

（1）Frame:【物理层】的数据帧概况（2）Ethernet II: 【数据链路层】以太网帧头部信息（3）Internet Protocol Version 4: 互联网层IP包头部信息，属于【网络层】（4）Transmission Control Protocol:【传输层】T的数据段头部信息，此处是TCP（5）Hypertext Transfer Protocol:【应用层】的信息，此处是HTTP协议

TCP包的具体内容