界面介绍
- 菜单栏:包含各种功能选项,如文件操作、捕获设置、分析工具等。
- 工具栏:提供常用功能的快捷方式,如开始 / 停止捕获、保存文件等。
- 过滤栏:用于输入过滤条件,对捕获的数据包进行筛选。
- 数据包列表:每一行代表一个数据包,显示数据包的编号、时间戳、源地址、目标地址、协议、长度等信息。
- 数据包详情:显示所选数据包的详细信息,包括各层协议的头部字段和数据内容。
- 数据包字节:以十六进制和 ASCII 码形式显示数据包的原始字节数据。
基本操作
- 选择网卡并抓包
- 打开 Wireshark,在主界面中会显示可用的网络接口。选择要捕获流量的网卡,可双击网卡名称或点击菜单栏的 “捕获”->“选项”,勾选相应网卡后点击 “Start”。
- 点击工具栏中的鲨鱼鳍图标或按下
Ctrl+E也可开始抓包。
- 停止抓包:点击工具栏中的红色停止按钮或再次按下
Ctrl+E。 - 保存数据包:点击 “文件”->“保存” 或 “文件”->“另存为”,选择保存路径和文件名,保存格式一般选择默认的 pcapng 或 cap 格式。
- 设置时间显示格式:点击 “视图”->“时间显示格式”,选择想要的时间格式,如 “HH:MM:SS.ffffff”。
- 标记数据包:选中需要标记的数据包,右键选择 “标记 / 取消标记”,也可选中数据包后按
Ctrl+M进行标记或取消标记。
过滤器使用
- 抓包过滤器
- 语法:BPF(全称 Berkeley Packet Filter)语法,有四个核心元素,类型(主机 host、网段 net、端口 port)、方向(源地址 src、目标地址 dst)、协议(tcp、udp、http 等)、逻辑运算符(&& 与、|| 或、! 非)。例如
src host 192.168.31.1表示抓取源 IP 为 192.168.31.1 的数据包;tcp || udp表示抓取 TCP 或者 UDP 协议的数据包。 - 使用方式:停止抓包,点击 “捕获”->“选项”,在捕获选项界面下方的输入框中输入过滤语句,点击 “开始” 即可按设置的规则抓包。
- 语法:BPF(全称 Berkeley Packet Filter)语法,有四个核心元素,类型(主机 host、网段 net、端口 port)、方向(源地址 src、目标地址 dst)、协议(tcp、udp、http 等)、逻辑运算符(&& 与、|| 或、! 非)。例如
- 显示过滤器
- 语法:包含五个核心元素,IP(ip.addr、ip.src、ip.dst)、端口(tcp.port、tcp.srcport、tcp.dstport)、协议(tcp、udp、http 等)、比较运算符(>、<、==、>=、<=、!=)、逻辑运算符(and、or、not、xor)。例如
ip.addr == 192.168.32.121表示显示 IP 地址为 192.168.32.121 的数据包;tcp.port == 80表示显示端口为 80 的数据包。 - 使用方式:在过滤栏输入过滤语句,修改后立即生效。
- 语法:包含五个核心元素,IP(ip.addr、ip.src、ip.dst)、端口(tcp.port、tcp.srcport、tcp.dstport)、协议(tcp、udp、http 等)、比较运算符(>、<、==、>=、<=、!=)、逻辑运算符(and、or、not、xor)。例如