Wireshark數據抓包教程之Wireshark捕獲數據

Wireshark數據抓包教程之Wireshark捕獲數據

Wireshark抓包方法

在使用Wireshark捕獲以太網數據，能夠捕獲分析到自己的數據包，也能夠去捕獲同一局域網內，在知道對方IP地址的情況下，捕獲到對方的數據包。

Wireshark捕獲自己的數據包

假設client經過路由器直接上網。如圖1.28所看到的。在該圖中，PC機A安裝Wireshark，能夠在該主機上直接捕獲自己的數據。

圖1.28  在主機上捕獲數據

Wireshark捕獲別人的數據包

假設都在一個局域網內，而且知道別人的IP地址的話，也能夠利用Wireshark捕獲到別人的數據包。具體方法例如以下：

1.port映射

局域網內。在同一交換機下工作的PC機，如圖1.29所看到的。PC機A和PC機B在同一交換機下工作。PC機A安裝Wireshark后。把交換機上隨意一個PC機的數據port做鏡像，設置交換機來復制全部數據到用戶交換port下的Wiresharkport。這時PC機A就能夠抓取到其它PC機的數據了。如抓取PC機B的數據。

2.使用集線器

我們能夠把圖1.29中的交換機換成集線器，這種話全部的數據包都是通發的。也就是說，無論是誰的數據包都會發到這個集線器上的每一個計算機。

僅僅要將網卡設置為混雜模式就能抓到別人的包。

3.利用ARP欺騙

我們都知道。發送、接受數據都要經過路由器，如圖1.30所看到的。

該圖中PC機A安裝Wireshark后，能夠利用ARP欺騙，來抓取PC機B、PC機C或PC機B與PC機C之間的數據包了。PC機A在局域網內發送ARP包，使其它計算機都誤以為它是網關。這種話。其它計算機都會將它們的數據包發送到PC機A那里，因此PC機A就能夠抓到它們的包了。

圖1.29  捕獲PC機B數據包              圖1.30  捕獲數據包

Wireshark捕獲數據

通過上述的學習，下載安裝好Wireshark后。就能夠利用它來捕獲數據了。以下以開發版（中文版）1.99.7為例解說怎樣來捕獲數據。

Wireshark怎樣捕獲數據

在Windows窗體程序中啟動Wireshark。如圖1.31所看到的的界面。

圖1.31  Wireshark主界面 圖1.32  捕獲網絡數據

在該界面能夠看到本地連接、VMware Network Adapter VMnet1、VMware Network Adapter VMnet8，這是3個捕獲網絡接口。本機中有3個，假設使用其它電腦網絡捕獲接口可能是不同的。僅僅有選擇了捕獲網絡接口。才干進行捕獲網絡數據。

因此首先選擇網絡接口。這里選擇本地連接作為捕獲網絡接口，然后單擊圖中button，將進行捕獲網絡數據，如圖1.32所看到的。

 

單擊圖中的button停止捕獲。

我們能夠把捕獲到的數據保存起來。單擊圖中的button，顯示如圖1.33所看到的的界面。

圖1.33  保存捕獲數據 圖1.34  打開捕獲文件

在該界面能夠選擇保存捕獲數據的位置，並對保存的文件進行命名。然后單擊“保存”button就可以。

這里保存在桌面。文件名稱稱為Wireshark。

Wireshark打開捕獲文件

當我們把捕獲到的數據保存起來。以便下次查看。那么怎么去打開已經捕獲好的文件呢？這里將做一個介紹。

（1）在啟動Wireshark的界面中。單擊打開button，彈出打開對話框，如圖1.34所看到的。 

（2）在該界面選擇捕獲文件保存的位置，然后單擊“打開”button就可以打開捕獲的文件。

Wireshark高速入門

在學會使用Wireshark捕獲數據的基礎上，還要進一步的理解Wireshark各部分的用途。本節將進行具體解說。

Wireshark主窗體界面介紹

打開一個捕獲文件，如圖1.35所看到的：

圖1.35  Wireshark主窗體界面   圖1.36  菜單條

在圖1.35中。以編號的形式已將Wireshark每部分標出。

以下分別介紹每部分的含義，例如以下所看到的：

• q  ①標題欄——用於顯示文件名稱稱、捕獲的設備名稱。

• q  ②菜單條——Wireshark的標准菜單條。

• q  ③工具欄——經常使用功能快捷圖標button。

• q  ④顯示過濾區域——降低查看數據的復雜度。

• q  ⑤Packet List面板——顯示每一個數據幀的摘要。

• q  ⑥Packet Details面板——分析封包的具體信息。

• q  ⑦Packet Bytes面板——以十六進制和ASCII格式顯示數據包的細節。

• q  ⑧狀態欄——分組、已顯示、已標記幀的數量，配置文件。

以上簡單的介紹了Wireshark主窗體界面的各部分的含義。以下對每一個部分進行具體的介紹

Wireshark菜單條介紹

Wireshark的菜單條界面如圖1.36所看到的。在該界面中被塗掉的兩個菜單，在工具欄中進行介紹。 

該菜單條中每一個button的作用例如以下所看到的：

• q  文件：打開文件集、保存包、導出HTTP對象。

• q  編輯：搜索包、標記包及設置時間屬性等。

• q  視圖：查看/隱藏工具欄和面板、編輯Time列、重設顏色等。

• q  分析：創建顯示過濾器宏、查看啟用協議、保存關注解碼。

• q  統計：構建圖表並打開各種協議統計窗體。

• q  電話：運行全部語音功能（圖表、圖形、回放）

• q  藍牙：ATT服務設置。

• q  幫助：學習Wireshark全球存儲和個人配置文件

Wireshark工具欄介紹

當用戶具體了解工具欄中每一個button的作用后，用戶就能夠高速的進行各種操作。

在工具欄中，每一個button的作用如圖1.37所看到的。

圖1.37  工具欄   圖1.38  Wireshark面板

​Wireshark面板介紹

Wireshark有三個面板，各自是Packet List面板、Packet Details面板、Packet Bytes面板。這三個面板的位置，如圖1.38所看到的。 

在該界面將三個面板已經標出。這三個面板之間是互相關聯的。假設希望在Packet Details面板中查看一個單獨的數據包的具體內容。必須在Packet List面板中單擊選中那個數據包。選中該數據包之后，才干夠通過在Packet Details面板中選擇數據包的某個字段進行分析，從而在Packet Bytes面板中查看對應字段的字節信息。

以下介紹面板的內容。

1.Packet List面板

該面板用表格的形式顯示了當前捕獲文件里的全部數據包。從圖1.38中，能夠看到該面板中共同擁有七列，每列內容例如以下所看到的：

• q  No（Number）列：包的編號。

  該編號不會發生改變，即使使用了過濾也相同如此。

• q  Time列：包的時間戳。時間格式能夠自己設置。

• q  Source和Destination列：顯示包的源地址和目標地址。

• q  Protocol列：顯示包的協議類型。

• q  Length列：顯示包的長度。

• q  Info列：顯示包的附加信息。

在該面板中，能夠對面板中的列進行排序、調整列位置、隱藏列、顯示列、重命名或刪除列等操作。以下以樣例的形式將分別介紹在該面板中可操作的功能。

【實例1-4】演示Packet List面板中可實現的功能。例如以下所看到的：

（1）列排序

打開一個捕獲文件http.pcapng，如圖1.39所看到的。

圖1.39  http.pcapng捕獲文件 圖1.40  排序Protocol列

該界面顯示了http.pcapng捕獲文件里的數據包。

默認Wireshark是以數據包編號由低到高排序。

比如。要對Protocol列排序，單擊Protocol列標題，將顯示如圖1.40所看到的的界面。

將該界面與圖1.39進行比較，能夠發現有非常大變化。從該界面能夠看到No列的順序發生了變化，協議列開始都為ARP。

（2）移動列位置

如移動http.pcapng捕獲文件里的Protocol列，到Time后面。使用鼠標選擇Protocol列。然后拖拽該列到Time后面，將顯示如圖1.41所看到的的界面。

圖1.41  移動Protocol列 圖1.42  列操作選項

（3）隱藏、重命名、刪除列

在捕獲文件http.pacpng中，右鍵單擊Packet List面板的隨意列標題，將彈出一個下拉菜單，如圖1.42所看到的。

• q  隱藏列、恢復列：在彈出的菜單中能夠看到Packet List面板中的七列標題前都有對勾。想隱藏哪列，單擊該列，對勾消失菜單消失該列隱藏。如想恢復該列，右擊Packet List面板中隨意列的標題，以相同的方式就可以恢復。

• q  重命名列：在彈出的菜單中單擊編輯列，顯示如圖1.43所看到的的界面。

圖1.44  Wireshark首選項

該界面出如今Packet List面板的上方，在該界面的左端的標題文本框進行重命名。

然后單擊右端的確定button就可以

• q  刪除列、恢復列：在彈出的菜單中單擊最以下的刪除本列選項就可以。恢復列需單擊Column Preferences...選項。（或者在菜單條中依次選擇“編輯”|“首選項”，在彈出的界面左側單擊列就可以）彈出Wireshark首選項框。如圖1.44所看到的。

   

單擊左下角的button，自己主動新建了一個標題為New Column的列，而且類型為Number。能夠雙擊標題和類型進行更改。

創建好以后單擊OKbutton就可以。

在Wireshark中，還能夠對Packet List面板中全部數據包進行很多操作，如標記、忽略、設置分組等。

用戶能夠通過右鍵單擊不論什么一個數據包，查看可用的選項，如圖1.45所看到的。

圖1.45  可用選項 圖1.46  菜單條 

在該界面顯示了在Packet List面板中，數據包的可用選項。在該選項中，使用標記分組能夠高速的找出有問題的數據包。

2.Packet Details面板

該面板分層次地顯示了一個數據包中的內容。而且能夠通過展開或收縮來顯示這個數據包中所捕獲到的全部內容。

在Packet Details面板中，默認顯示的數據的具體信息都是合並的。假設要查看。能夠單擊每行前面的小三角展開幀的會話。用戶也能夠選擇當中一行並右鍵單擊，彈出菜單條。

如圖1.46所看到的。 

在菜單條中選擇展開子樹（單個會話）或展開全部會話。

3.Packet Bytes面板

該面板中的內容可能是最令人困惑的。

由於它顯示了一個數據包未經處理的原始樣子，也就是其在鏈路上傳播時的樣子。

在該面板中的數據是以十六進制和ASCII格式顯示了幀的內容。當在Packet Details面板中選擇隨意一個字段后，在Packet Bytes面板中包括該字段的字節也高亮顯示。假設不想看到Packet Bytes面板的話，能夠在菜單條中依次選擇“視圖”|“分組字節流（B）”命令將其關閉。當查看的時候，使用相同的方法將其打開。

Wireshark狀態欄介紹

狀態欄是由兩個button和三列組成的。當中。這三列的大小在必要時能夠調整。狀態欄中每部分含義如圖1.47所看到的。

圖1.47  狀態欄

以下分別具體介紹下狀態欄中每部分的作用。例如以下所看到的：

• q  ：該button是專家信息button。

  該button的顏色是為了顯示包括在專家信息窗體中最高水平的信息。

  專家信息窗體能夠提醒用戶。在捕獲文件里的網絡問題和數據包的凝視

• q  ：該button是捕獲文件凝視button。單擊該button，能夠加入、編輯或查看一個捕獲文件的凝視。該功能僅僅能夠在以.pcapng格式保存的捕獲文件使用。

• q  第一列（獲取字段、捕獲或捕獲文件信息）：當在捕獲文件里選擇某個字段時，在狀態欄中將能夠看到文件名稱和列大小。假設點擊Packet Bytes面板中的一個字段，將在狀態欄中會顯示其字段名。而且Packet Details面板也在發生着變化。

• q  第二列（包數）：當打開一個捕獲文件時，在狀態欄中的第二列將顯示該文件的總包數。在圖1.47中。顯示了捕獲的數據包數量、顯示包數和載入時間。假設當前捕獲文件里有包被標記，則狀態欄中將會出現標記包數。

• q  第三列（配置文件）：表示當前使用的文件。在圖1.47中，表示正在使用Default 文件。

  文件能夠創建，這樣就能夠自己定制Wireshark的環境。

本文選自：Wireshark數據抓包基礎教程大學霸內部資料。轉載請注明出處，尊重技術尊重IT人！