【W(wǎng)ireshark】- 入門篇(1)
【W(wǎng)ireshark】- 過濾器(2)
【W(wǎng)ireshark】- Statistics崭篡，Analyze菜單(3)
【socket】- Wireshark抓包分析TCP/IP三次握手和四次揮手

簡介

Wireshark（前稱Ethereal）是一個網(wǎng)絡封包分析軟件盗温。網(wǎng)絡封包分析軟件的功能是擷取網(wǎng)絡封包肿仑，并盡可能顯示出最為詳細的網(wǎng)絡封包資料泪漂。Wireshark使用WinPCAP作為接口豁护，直接與網(wǎng)卡進行數(shù)據(jù)報文交換速缨。

平時開發(fā)杏头，測試過程中盈包，如果想要簡單的抓取網(wǎng)絡請求數(shù)據(jù)，那么我們可以用fidder(windows),charles(mac)抓包工具醇王，特點說呢燥，操作簡單，數(shù)據(jù)清晰寓娩。但如果要深入分析網(wǎng)絡請求叛氨，比如tcp/ip協(xié)議，三次握手詳細的數(shù)據(jù)交換等棘伴，那么我們就得使用Wireshark網(wǎng)絡分析工具寞埠，特點是愤惰，信息全面略就，但是使用起來相對要復雜一些母截。
Wireshark接與網(wǎng)卡進行數(shù)據(jù)報文交換本昏，所以，要想抓取到數(shù)據(jù)包香嗓，那么網(wǎng)絡請求必須經(jīng)過Wireshark抓取的網(wǎng)卡，不然，是抓取不到的颇象。而且Wireshark不像fidder，charles那樣并徘，自身可以配置代理遣钳。所以，必要時麦乞，可以結(jié)合fidder蕴茴，charles使用，達到抓包的目的姐直。

原理

把Wireshark主機上的網(wǎng)卡接入有線或無線網(wǎng)絡開始抓包時倦淀，介于有線（或無線）網(wǎng)卡和抓包引擎之間的軟件程序便會參與其中。在windiws和UNIX平臺上声畏，這一款軟件驅(qū)動程序分別是WinPacp和Libcap撞叽，對于無線網(wǎng)卡姻成，形使抓包任務的是AirPacp。

安裝

安裝比較簡單愿棋，自己百度即可科展。官網(wǎng)

抓包

上面的準備工作完成后，便可以打開Wireshark糠雨。啟動頁如下：

Wireshark_啟動頁.png

選擇需要抓包的網(wǎng)卡才睹，首先可以觀察網(wǎng)卡是否有收發(fā)流量。如果你很清楚你使用的網(wǎng)卡甘邀，那么你可以直接選擇琅攘。我是用的mac有線網(wǎng)，并通過mac自帶的wifi共享鹃答，分享出的wifi網(wǎng)絡乎澄，并且需要抓包的手機連接wifi。所以這里雙擊第一個網(wǎng)卡進去抓包主界面测摔。當然你可以點擊快速啟動工具欄左邊的一個圖標啟動抓包程序置济。

Wireshark_抓包主界面.png

NO.： 編號， Time：抓取時間锋八，Source：源地址浙于，Destination：目的地，Protocol：協(xié)議類型挟纱，Length：長度羞酗，Info：信息。

網(wǎng)卡配置（Capture -> Options）

點擊工具欄左邊第4個圖標紊服，打開網(wǎng)卡配置檀轨。

Wireshark_網(wǎng)卡配置.png

• Input
  1. Enable promiscuous mode on all interfaces:抓取交換機(端口鏡像功能)重定向給自己的所有數(shù)據(jù)包，那怕數(shù)據(jù)包的目的(MAC/IP)地址不是本機地址欺嗤，否則只抓取到目的(MAC/IP)地址為本機的數(shù)據(jù)包参萄，外加廣播以及多播數(shù)據(jù)包。在某些情況下煎饼，選擇該復選框讹挎，會導致Wireshark不能從無線網(wǎng)卡抓取數(shù)據(jù)，所有吆玖，如果使用無線網(wǎng)卡抓取不到數(shù)據(jù)時筒溃，可以取消勾選。
  2. Capture filter for selected interfaces：選擇抓包文件保存路徑
• Output
  1. Output format：保存文件格式
  2. create a new file automatically after...：使用多個文件來存儲抓包文件沾乘，具體條件可以自己配置怜奖。
  3. Use a ring buffer with：最大保存的文件，如果超過翅阵，會按照時間順序移除烦周。
• Options
  1. Display Options：更新列表和自動滾動抓包列表尽爆。
  2. Stop capture automatically after...：滿足條件時自動停止抓包
  3. Name Resolution
     （1）Resolve MAC Addresses：MAC地址所屬的廠商名
     （2）Resolve network Addresses：IP對應的主機名或域名
     （3）Resolve transport Addresses：與TCP/UDP端口號對應的應用程序名
     （4) Use external network name resolver:調(diào)用操作系統(tǒng)指明大的名字解析程序(比如，DNS解析程序),這個選項可在Wireshark -> Preferences -> Name Resolution找到读慎。

其它配置

• 為數(shù)據(jù)包著色

  
  
  Wireshark_數(shù)據(jù)包著色.png
  
  

  取消著色：View -> Colorize Conversation -> ResetColorization

  
  
  Wireshark_取消數(shù)據(jù)包著色.png
• 配置時間參數(shù)
  View -> Time Display Format
• 配色規(guī)則
  View -> Coloring Rules 配色方案下載網(wǎng)站

Preferences配置

Wireshark_Preferences.png

• Protocols
  1. IPv4:
     Decode IPv4 TOS field as DiffServ field:如果不勾選漱贱，者使用老的IPv4服務質(zhì)量標準，來解析抓取的IPv4數(shù)據(jù)包包頭中的Tos字段

其它設置請自己查看夭委，如果抓包時幅狮，Protocol里面沒有自己想要的字段，可以到這里勾選想要的選項株灸，來達到分析的目的崇摄。