Wireshark學習（一）基本用法和過濾器

一、Wireshark簡介

　　Wireshark也成為協議分析軟件，是免費、通用、強大的抓包軟件之一。Wireshark作為一款好用的開源網絡包分析器，能在多種平台（Windows、Linux、Mac）抓取和分析網絡包，對網絡數據包進行細致入微地分析，顯示出數據包的詳細內容，從而幫助技術人員分析網絡級別的估值，判斷這些信息是否滿足用戶的需求，並在優化網絡性能方面有發揮重要作用。同時，使用Wireshark工具幫助學習和分析常見的網絡協議。

　　Wireshark有圖形界面，也有命令行形式Tshark。

二、獲取、安裝、快速開始

1、官方網站：可獲取Windows-32bit、Windows-64bit、Mac OS、Linux OS上的Installer包、Source Code、User's Guide。學習版本Wireshark-32bit-V3.0.0。

　 Get and Install：　　https://www.wireshark.org/download.html

　 Wireshark User's Guide：　　https://www.wireshark.org/docs/wsug_html_chunked

　 Wiki site for Wireshak Network Protocol analyzer：　　https://wiki.wireshark.org/  有些過濾示例

2、Windows平台上直接運行exe，根據向導安裝完畢，過程中自動安裝Npcap。

　　Npcap取代WinPcap，能支持Windows平台的回環（Loopback）數據包采集、回環（Loopback）數據包發送。

3、運行安裝好的Wireshark，認識主界面，從上到下分為：標題欄、菜單欄、工具欄（開始捕獲、停止捕獲、重新捕獲、捕獲接口選項、保存捕獲文件，導出/打開/加載捕獲文件、放大/縮小/還原分組顯示等）、（顯示）過濾器欄、數據包列表區、數據包解析細節區、數據包字節區（顯示十六進制字節和對應ASCII碼）、狀態欄（顯示抓包總數）。

區分：　　CaptureFilters：捕獲過濾器，菜單欄-->捕獲-->捕獲過濾器...

　　　　　DisplayFilters：顯示過濾器，主界面中的過濾器欄，https://www.wireshark.org/docs/wsug_html_chunked/ChUseFilterToolbarSection.html

 4、有疑問隨時查找  菜單欄-->幫助

5、Tshark命令有多個可選項，無選項時作用類同Linux中的  tcpdump命令

6、查看數據包列表區的色彩標識：菜單欄-->視圖-->着色規則

7、查看Wireshark捕獲過濾器支持的協議列表，過濾器表達式使用的部分memership：菜單欄-->視圖-->內部-->support protocal。

8、主界面中數據包列表區選中一條數據包-->右鍵菜單-->跟蹤流-->xx流，將顯示在服務器和目標端之間的全部會話，關閉窗口之后，會發現過濾條件自動被引用了——Wireshark顯示構成會話的報文。

9、Wireshark能抓到的包及抓包環境：1、穿越網絡以裝有Wireshark的這台設備作為最終目的地的數據包；2、裝有Npcap捕獲軟件，可抓取Windows平台本機的回環數據包；3、計算機裝有Wireshark並啟動雜合模式，交換機支持配置端口鏡像技術（或管理員通過插拔設備方式），使裝有協議分析軟件的計算機和目標PC處於同一個廣播域中，能抓取所有去往這台目標PC以及所有從這台目標PC發出來的數據包。

 

Wireshark默認啟動promiscuous（雜合）模式，這樣才能抓到並不是以這台設備作為最終目的地的數據包。否則，需在“Wireshark·捕獲接口”窗口中勾選“在所有接口上使用混雜模式”。

 

10、保存捕獲文件的操作：菜單文件-->另存為... ，Wireshark默認保存.pcapng格式。

11、Wireshark抓包實質捕獲的是數據鏈路層的幀。

三、創建過濾器表達式

1、認識過濾器欄、過濾器表達式語法、過濾器對話窗

　　3.16. The “Filter” Toolbar：　　　　https://www.wireshark.org/docs/wsug_html_chunked/ChUseFilterToolbarSection.html

　　6.4. Building Display Filter Expressions　　　　https://www.wireshark.org/docs/wsug_html_chunked/ChWorkBuildDisplayFilterSection.html

過濾表達式語法可使用：協議類型、值比較操作符（==，！=，<，>，contains，matches，&等等）、多個過濾表達式聯合使用邏輯運算名稱、成員運算符（.）、片運算符（[:]）、函數

　　6.5. The “Filter Expression” Dialog Box　　　　https://www.wireshark.org/docs/wsug_html_chunked/ChWorkFilterAddExpressionSection.html     見下圖顯示的“Wireshark·顯示過濾器表達式”窗口。

 

2、創建過濾器表達式

方法一：在過濾欄直接輸入 符合伯克利數據包過濾語法（BPF語法）的過濾器表達式

　　BPF語法是一種行業標准，很多協議分析軟件都可以使用，因此不同協議分析軟件的過濾器配置可以相互遷移。

方法二：使用  過濾器欄 -->表達式...-->顯示過濾器表達式    對話窗口來生成

　　

 

 

3、常見的錯誤：意圖過濾掉某個ip，過濾表達式   !(ip.addr == 1.2.3.4)  ，不是  ip ！=1.2.3.4.