Wireshark（前稱Ethereal）是一個(gè)網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是截取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換。

一、安裝wireshark

打開(kāi)終端，輸入安裝命令，在下載完成后需要選擇yes回車同意協(xié)議，然后就會(huì)開(kāi)始安裝，安裝過(guò)程很快。

sudoapt-getinstallwireshark

二、啟動(dòng)wireshark

輸入命令回車，一定要加上sudo，才有管理員權(quán)限。

sudowireshark

啟動(dòng)后界面如下，可以看到是使用Qt開(kāi)發(fā)的界面，頂端從上至下是標(biāo)題欄、菜單欄、工具欄和過(guò)濾欄。下面是選擇接口作為過(guò)濾器，左側(cè)是所有接口名稱，右側(cè)是接口數(shù)據(jù)量大小。

比如我需要從以太網(wǎng)口和其他主機(jī)進(jìn)行網(wǎng)絡(luò)通信，所以選擇enpls0，然后點(diǎn)擊左上角鯊魚(yú)鰭的圖標(biāo)，開(kāi)始抓包。

三、使用wireshark

1、下面是抓包一段時(shí)間后的結(jié)果，可以看到有很多UDP、ARP、ICMP協(xié)議的網(wǎng)絡(luò)報(bào)文。

2、我們看到在數(shù)據(jù)列表中不斷地顯示從以太網(wǎng)口抓取到的報(bào)文，列表屬性分別為：

| 編號(hào)| 時(shí)間戳 |源地址|目的地址|協(xié)議|長(zhǎng)度|信息|

3、在數(shù)據(jù)列表區(qū)下面是數(shù)據(jù)詳情區(qū)。在數(shù)據(jù)包列表中選擇任一數(shù)據(jù)包，在數(shù)據(jù)詳情區(qū)中會(huì)顯示數(shù)據(jù)包的所有詳細(xì)信息。數(shù)據(jù)詳情區(qū)是最重要的，用來(lái)查看協(xié)議中的每一個(gè)字段。各行信息分別為：

Frame: 物理層的數(shù)據(jù)幀概況

Ethernet II: 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息

Internet Protocol Version 4: 互聯(lián)網(wǎng)層IP包頭部信息

User Datagram Protocol: 傳輸層的數(shù)據(jù)段頭部信息，此處是UDP

Data: 報(bào)文的數(shù)據(jù)位，展開(kāi)可以看到內(nèi)容

4、緊接著是數(shù)據(jù)字節(jié)區(qū)，數(shù)據(jù)字節(jié)區(qū)左側(cè)是1個(gè)字節(jié)1個(gè)字節(jié)地顯示，每個(gè)字節(jié)用2個(gè)16進(jìn)制數(shù)表示。右側(cè)是16進(jìn)制對(duì)應(yīng)的10進(jìn)制數(shù)字對(duì)應(yīng)的ASCLL字符。右下角是數(shù)據(jù)統(tǒng)計(jì)區(qū)，表示捕獲到n個(gè)分組，顯示x個(gè)分組，丟棄n-x個(gè)分組。

5、數(shù)據(jù)包列表區(qū)中不同的協(xié)議使用了不同的顏色區(qū)分。協(xié)議顏色標(biāo)識(shí)定位在菜單欄的視圖——>著色規(guī)則。

6、過(guò)濾規(guī)則可以說(shuō)是wireshark的精髓，必須得掌握。在數(shù)據(jù)報(bào)文很多的時(shí)候，或者多機(jī)通信的時(shí)候，你需要用過(guò)濾規(guī)則保留下你需要的報(bào)文。

比較操作符

比較操作符有==等于、!=不等于、>大于、=大于等于、<=小于等于。

協(xié)議類型

直接在Filter框中直接輸入?yún)f(xié)議名即可。注意：協(xié)議名稱需要輸入小寫(xiě)。

tcp，只顯示TCP協(xié)議的數(shù)據(jù)包列表

udp，只顯示UDP協(xié)議的數(shù)據(jù)包列表

http，只查看HTTP協(xié)議的數(shù)據(jù)包列表

ip地址

ip.src ==192.168.1.10，顯示主機(jī)ip地址為192.168.1.10發(fā)送的報(bào)文列表

ip.dst==192.168.1.10，顯示主機(jī)ip地址為192.168.1.10的接收的報(bào)文列表

ip.addr == 192.168.1.10，顯示源ip地址或目標(biāo)ip地址為192.168.1.10的報(bào)文列表

端口號(hào)

udp.port == 9900, 顯示源主機(jī)或者目的主機(jī)端口為9900的報(bào)文列表。

udp.srcport == 9900, 只顯示UDP協(xié)議的源主機(jī)端口為9900的報(bào)文列表。

udp.dstport == 9900，只顯示UDP協(xié)議的目的主機(jī)端口為9900的報(bào)文列表。

組合條件

使用多個(gè)條件進(jìn)行過(guò)濾時(shí)，使用and/or/not。

獲取源ip地址為192.168.1.10的udp報(bào)文：ip.src == 192.168.1.10 and udp

獲取目的ip地址為192.168.1.10且port為9900的udp報(bào)文：ip.src == 192.168.1.10 and udp.port == 9900

獲取目的ip地址不是192.168.1.10的且port不是9900的udp報(bào)文：ip.src != 192.168.1.10 and udp.port != 9900

報(bào)文內(nèi)容

如果要以報(bào)文的數(shù)據(jù)位作為篩選條件，可以在數(shù)據(jù)詳情區(qū)選擇Data，然后右擊——>作為過(guò)濾器——>選中即可。

所有工程都離不開(kāi)網(wǎng)絡(luò)通信。

審核編輯：劉清