网络抓包工具Wireshark

网络抓包工具Wireshark是一款比较传统易用的网络抓包工具，支持Unix和Windows等操作系统，一般又称为wireshark网络分析器，wireshark抓包软件，可谓是网络分析专业的常青树，可以捕获有线、无线、VPN、虚拟接口(如 Docker、VMware)等所有网络流量，其强大的数据分析能力能够为用户搭建一个极具生活美感的抓包工具平台，有需要进行网络数据获取的朋友快来下载使用吧！

Wireshark功能

1、深入检查数百种协议，一直在增加

2、实时捕获和离线分析

3、标准三窗格数据包浏览器

4、多平台：在Windows，Linux，macOS，Solaris，FreeBSD，NetBSD和许多其他操作系统上运行

5、捕获的网络数据可以通过GUI或TTY模式的TShark实用程序进行浏览

6、业界最强大的显示过滤器

7、丰富的VoIP分析

8、读取/写入许多不同的捕获文件格式：tcpdump（libpcap），Pcap NG，Catapult DCT2000，Cisco Secure IDS iplog，Microsoft Network Monitor，Network GeneralSniffer（压缩和未压缩），Sniffer Pro和NetXray，Network Instruments Observer ，NetScreen监听，Novell LANalyzer，RADCOM WAN / LAN分析器，Shomiti / Finisar Surveyor，Tektronix K12xx，Visual Networks Visual UpTime，WildPackets EtherPeek / TokenPeek / AiroPeek等

9、使用gzip压缩的捕获文件可以即时解压缩

10、可以从以太网，IEEE 802.11，PPP / HDLC，ATM，蓝牙，USB，令牌环，帧中继，FDDI等读取实时数据（取决于您的平台）

11、对许多协议的解密支持，包括IPsec，ISAKMP，Kerberos，SNMPv3，SSL / TLS，WEP和WPA / WPA2

12、可以将着色规则应用于数据包列表，以进行快速，直观的分析

13、输出可以导出为XML，PostScript，CSV或纯文本

Wireshark使用方法

1、抓包过滤器

捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。

如何使用？可以在抓取数据包前设置如下。

ip host 60.207.246.216 and icmp表示只捕获主机IP为60.207.246.216的ICMP数据包。获取结果如下：

2、显示过滤器

显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛，抓取的数据包内容较多时使用显示过滤器设置条件顾虑以方便分析。同样上述场景，在捕获时未设置捕获规则直接通过网卡进行抓取所有数据包，如下

执行ping www.xzaz.com获取的数据包列表如下；

观察上述获取的数据包列表，含有大量的无效数据。这时可以通过设置显示器过滤条件进行提取分析信息。ip.addr == 211.162.2.183 and icmp。并进行过滤。

上述介绍了抓包过滤器和显示过滤器的基本使用方法，在组网不复杂或者流量不大情况下，使用显示器过滤器进行抓包后处理就可以满足我们使用。

表达式规则

1、协议过滤

比如TCP，只显示TCP协议。

2、IP 过滤

比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102，

ip.dst==192.168.1.102, 目标地址为192.168.1.102

3、端口过滤

tcp.port ==80, 端口为80的

tcp.srcport == 80, 只显示TCP协议的愿端口为80的。

4、Http模式过滤

http.request.method=="GET", 只显示HTTP GET方法的。

5、逻辑运算符为 AND/ OR

常用的过滤表达式

封包列表(Packet List Pane)

封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。 你可以看到不同的协议用了不同的颜色显示。

你也可以修改这些显示颜色的规则， View ->Coloring Rules.

例子:

ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107

或者

ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP

Linux上运行的wireshark图形窗口截图示例，其他过虑规则操作类似，不再截图。

ip.src eq 10.175.168.182

提示： 在Filter编辑框中，收入过虑规则时，如果语法有误，框会显红色，如正确，会是绿色。

过滤端口

了解了上面的Wireshark过滤规则之后，接下来小编给大家讲解的就是过滤端口，其实这个过滤端口的含义还是比较容易理解的，那么有不懂的用户可以参考下面小编给大家分享的内容，让你能够清楚它的整个使用流程。

例子:

tcp.port eq 80 // 不管端口是来源的还是目标的都显示

tcp.port == 80

tcp.port eq 2722

tcp.port eq 80 or udp.port eq 80

tcp.dstport == 80 // 只显tcp协议的目标端口80

tcp.srcport == 80 // 只显tcp协议的来源端口80

udp.port eq 15000

那么过滤端口范围：

tcp.port >= 1 and tcp.port <= 80

Wireshark特色

•数据可视化功能：适用爬取、表明与分析网络里的数据包，并且以图形化的方法显现出来；
•网络协议：提供多种比较常见的网络协议，可以分析IP、TPC、UDP、HTTP、FTP等；
•编解码功能：能够对网络里的数据包开展编解码，从而更好地了解网络上发生的事；
•数据分析表：可以生成网络抓包软件的具体表格，便于进一步分析网络总流量；
•滤波器功能：能够使用多种滤波器开展数据抓取，进而提升数据抓取效率；
•用户友好：UI易学易用，操作方便，易于使用；
•兼容模式：还可以在Windows、Mac OS X和Linux等电脑操作系统上运行。