Wireshark入門與進階---數據包捕獲與保存的最基本流程

Wireshark入門與進階系列(一)

“君子生非異也。善假於物也”---荀子

本文由CSDN-蚍蜉撼青松 【主頁：http://blog.csdn.net/howeverpf】原創，轉載請注明出處！

       你在百度上輸入keyword“Wireshark、使用、教程”。能夠找到一大堆相關的資料。那么問題來了，

為什么我還要寫這個系列的文章？

       前面你能搜到的那些資料，大部分可能存在兩個小問題：

1. 網上大部分資料引自(or譯自)Wireshark官方的用戶手冊，或使用類似於用戶手冊的寫法。它們非常具體的告訴你Wireshark有哪些窗體、菜單、選項，這些窗體、菜單、選項能夠完畢什么功能。

   這對於一個已有主要的使用經驗。遇到了疑難雜症須要查詢解決的人可能是有效的；對於一個雖無使用經驗，但空暇時間非常多。出於興趣想全面了解這個工具的人也是合適的；但是對於那些沒用用過Wireshark，不求全解。僅僅是由於某種需求。想要高速使用Wireshark完畢某個任務的小菜們，肯定是不合適的。

2. 網上大部分資料都有些年頭了。由於客觀因素制約，大部分資料相應的Wireshark版本號止步於1.08.x。而當前Wireshark的測試版已經更新到1.99.0，穩定版也已經更新到1.12.1（連我這樣的習慣慢半拍的人使用的都已經是1.10.0……）資料已經有了一丟丟的滯后性。

       That's why I write these articles. 基於第一點，本系列文章除非是專門做窗體功能介紹，否則一律採用“問題/需求-->流程/步驟-->附注/說明”的形式書寫；基於第二點。本系列文章文默認使用的Wireshark版本號是1.10.0rc2（下 圖1是該版本號啟動后會首先出現的引導界面）。

一、使用Wireshark進行抓包的最基本流程

       有些時候，我們僅僅須要用Wireshark簡單的捕獲一些數據包看看當前的網絡執行情況或是本機通信情況，對數據包的類型和內容並沒有一個預期的明白要求。這樣的情況下，流程非常easy：

“啟動軟件-->選定網卡（網絡接口卡的俗稱。一般也簡稱為接口。即Interface）並開始抓包-->停止抓包-->數據包保存”

1.1 啟動軟件

       與老版Wireshark啟動后直接進入主界面不同，1.8.x版本號開始。軟件啟動后首先出現的是下圖所看到的的引導界面。該界面中包括了Wireshark幾大最經常使用功能的快捷button，分為Capture、Capture Help、Files、Online四大部分。

圖1-1 新版Wireshark引導界面

1.2 選定網卡並開始抓包

       本篇臨時僅僅關注實時數據包捕獲，所以我們把目光聚焦到前 圖1-1左上角的“Capture”部分。例如以下：

圖1-2 新版Wireshark引導界面中與數據包實時捕獲相關的部分

       該部分存在三個快捷button，各自是：Interface List（網卡具體信息列表）、Start（開始抓包），以及Capture Options（捕獲選項）。

當中“Start”button下方是一個簡要的網卡列表。當我們在自己的PC上使用Wireshark時。一般我們都對PC上各個網卡的執行情況比較清楚。

比方我如今沒有插網線。使用的是室友共享出來的WiFi，那正在通信的肯定就僅僅有無線網卡。所以我要抓包，就要先點選圖1-2中“Start”button下方的“無線網絡連接”（若需復選。使用Ctrl鍵）【中下方黑色方框標注】，然后點擊“Start”button【中上方黑色橢圓框標注】，Wireshark就開始抓包了。

       有些時候我們可能不是非常清楚主機上的網卡執行情況。這個時候就須要先點擊圖1-2中的“Interface List”button，彈出例如以下的網卡具體信息列表。

圖1-3 網卡具體信息列表

       上圖中能夠直觀地看到各個網卡的上下行數據包計數【右上方黑色圓角方框標注】。依據這一信息，我們能夠非常明顯看出當前僅僅有“無線網絡連接”在通信。因此勾選該網卡前面的復選框【左上方靛青色橢圓框標注】，然后點擊“Start”button【中下方黑色橢圓框標注】，Wireshark也就開始抓包了。

1.3 停止抓包

       想抓的數據包抓完了，就要讓Wireshark停下來。手動停止抓包有三種主要的方式，

1. 使用Ctrl+E組合鍵
2. 菜單條【圖1-1上部標注】：依次點擊"Capture"-->"Stop"【圖1-4所看到的】
3. 工具欄【圖1-1上部標注】：點擊【第四個方形的button，圖1-5中黑色橢圓框標注】

圖1-4 Capture菜單

圖1-5 工具欄

1.4 數據包保存

       完畢數據包的捕獲后。可能我們並不急着立即做分析，或者說當前能做的分析還不夠完整，須要后面來加深……如此種種。我們須要用文件保存這些數據包。

      保存數據包也有三種方式，

1. 使用Ctrl+S組合鍵；
2. 菜單條：依次點擊"File"-->"Save"
3. 工具欄：點擊【第7個button，圖1-5中黑色圓角方框標注】
   

       而后彈出例如以下的窗體，

圖1-6 Wireshark支持的數據包存儲格式

       新版Wireshark存儲數據包的時候支持非常多格式【圖1-6中黑色圓角方框標注】。能夠看到。默認使用的保存類型是pcapng，這可能是一個長處非常多的格式，但出於兼容性的考慮，我還是建議你在存包的時候把存儲格式設置為第二個選項【圖1-6的黑色圓角方框中着色標注】。

這主要是由於pcapng還是一個新玩意。支持他的軟件還不夠多。

       有時候。我們捕獲的數據包不止是自己看，還要給同伴分析，假設你的同伴使用的是1.8.x曾經的Wireshark版本號或者其他他更順手的工具。那么在業界獲得廣泛支持的pcap格式一定能為你們的溝通架起快捷的大橋。

       保存數據包時，左下角另一個選項“Compress with gzip”【圖1-6中黑色橢圓框標注】。假設你勾選了這個選項，那么會對保存的文件再進行gzip壓縮。一般保存數據包的時候都不須要特別勾選這個選項，由於數據包少的時候根本沒壓縮的必要。數據包多的時候也全然能夠保存了文件之后，自己再用壓縮軟件打包。

       至此。最主要的抓包流程就算是介紹完了，本文到此結束，下篇文章將會介紹Capture Options各項的含義與設置。歡迎繼續關注。

------本文由CSDN-蚍蜉撼青松【主頁：http://blog.csdn.net/howeverpf】原創，轉載請注明出處！

------