wireshark快速指南

学过网络的同学都知道，互联网信息的传递都是通过网络数据包来完成的。那么抓取网络数据包对于我们学习网络知识，查找网络问题甚至逆向工程都是至关重要的。

现在本文以Linux 下版本号为1.10.14的wireshark向大家介绍。

wireshark是一款开源的，支持多种 *** 作系统，多种网络协议的抓包工具。它简单容易上手，并且说明文档齐全（官网有详尽的guide book）。

下面跟其他常见的抓包工具进行对比：

注意：只要将手机网络连接到安装了wireshark的主机上（比如开热点wifi），就可以抓到手机上的数据包，而不一定要在手机上安装抓包工具

主要介绍两个页面，一个是起始页，一个是包列表页。起始页展示了接口列表（网卡，蓝牙，USB等数据端口），捕获选项以及一些帮助信息。点击开始捕获包后就会进入包列表页，包列表页展示捕获到的包，选中包对应的协议信息及其原始十六进制数据

起始页展示了可供抓包的接口列表，选中想要捕获的接口开始抓包。捕获选项里可以设置捕获过滤规则以及捕获停止条件。

进行捕获后，会出现三个栏目：数据包列表栏目，包协议信息栏目，包字节信息栏目。我们可以通过数据包列表找到想要的某个数据包，鼠标选中后，在包协议信息栏目分析该包的协议信息，如果想要知道某个字节的含义则在包字节信息栏目分析。注意在数据包列表栏目上方有个Filter 输入框，这里我们可以输入显示过滤表达式，过滤掉数据包列表中一些不需要展示的数据包。

3.1.1 从文件导入

数据包已经被抓取并导出到文件，此时我们只需用wireshark导入此捕获文件即可获取之前捕获的数据包。文件的格式有很多种，可以导入tcpdump导出的捕获文件。有趣的是，也可以导入png,jpg等格式的图片以及mp4等格式的视频文件，导入后可以看到图片和视频也是一个个数据包组成的，图片渐近式展示以及视频不需完全加载就可播放等特性估计跟这有关。

3.1.1 实时抓取

选择特定接口，点击start按钮后，即开始实时抓取。

一般地，接口的数据包数量庞大并且各个包之间的关联性不强。我们想要得到特定的数据包就必须过滤无关的数据包，从而快速的进行分析。wireshark过滤方式有两种，第一种是捕获过滤，这种过滤是捕获阶段进行，它只捕获未被过滤的数据包，这样可以减少抓取数据包的数量。第二种是显示过滤，这种过滤在分析阶段进行，它在捕获的数据包基础上进行过滤。

3.2.1 捕获过滤

过滤语法

一般格式： [not] primitive [and|or [not] primitive ...]

primitive 一般由type，dir，proto这三类限定符组成

3.2.2 显示过滤

过滤语法

一般格式： （过滤字段 比较 *** 作符 value） 组合表达式 （过滤字段 比较 *** 作符 value）...

3.3.1 追踪数据流

将数据包进行关联，可通过某个数据包即可关联到该数据包传输链的所有数据包，比如可以通过一个tcp数据包可关联到这个tcp会话的所有数据包。

*** 作：鼠标点击数据包列表栏的某个数据包->右键->Follow TCP Stream(Follow UDP Stream，Follow SSL Stream)

3.3.2 端点

端点在不同的协议层有不同的含义，在网络层，特定IPv4，IPv6地址为一个端点，在数据运输层，特定TCP端口，UDP端口为一个端点。端点这个页面为我们展示每个端点的数据包发送和接收情况。

*** 作：Statistics->Endpoints

3.3.3 对话

对话页面展示两个端点之间的包传输情况。端点在不同协议层有不同含义，对话也一样。在网络层，对话是两个IP之间进行，在数据传输层，对话在两个端口之间进行。

*** 作：Statistics->Conversations

3.3.4 流量图

流量图使用图形化展示了数据包的抓取情况。

*** 作：Statistics->IO Graphs

3.3.5 协议分层

协议分层页面将抓取到数据包按网络协议进行了分类，我们可以看到每个网络层抓取包的情况。

*** 作：Statistics->Protocol Hierarchy Statistics

3.3.6 专家信息

wireshark 帮我们分析了数据包情况，通过专家信息页面提示网络中出现的问题，它将数据包分为4个等级（Error，Warnings，Notes，Chats），从左至右问题严重程度依次减少，Chats是正常的数据包。Error表示可能导致问题的数据包。

*** 作：Analyze->Expert Infos

一般地，如果不设置静态MAC-->IP对应表，机器都会发送arp请求来获得其他机器的mac地址。

如此，我们只需要在显示过滤器输入 arp 即可获得apr数据包。捕获信息见下图：

wireshark官方文档

一、安装

以root用户运行：yum install wireshark

二、运行

在终端中键入命令：

#wireshark

bash:wireshark:command not found

#whereis wireshark

wireshark: /usr/lib/wireshark /usr/share/wireshark

#cd /usr/lib/wireshark

#ls

plugins

#cd /usr/share/wiresharkls

AUTHORS-SHORT dtds mergecap.html tshark.html

capinfos.html dumpcap.html radius wimaxasncp

cfilters editcap.html rawshark.html wireshark-filter.html

colorfilters help serviceswireshark.html

COPYINGidl2wrs.html smi_modulesws.css

dfilters ipmap.htmltext2pcap.html

diameter manuftpncp

解决方法：

http://forums.fedoraforum.org/showthread.php?p=1307301

yum search wireshark（搜索匹配特定字符的rpm包）

yum install wireshark-gnome.i386（wireshark的图形界面）

#whereis wireshark

wireshark: /usr/bin/wireshark /usr/sbin/wireshark /usr/share/wireshark /usr/share/man/man1/wireshark.1.gz

#wireshark

成功！

使用

查看TCP通信包，在过滤条件中写入 tcp ；Apply；

查看指定端口的包：在过滤条件中输入 tcp.port eq 7905

查看指定IP的包：ip.addr eq 192.168.1.104

查看指定IP和PORT的包：ip.addr eq 192.168.1.104 and tcp.port eq 7905

网络抓包工具Wireshark的简单使用 http://www.linuxidc.com/Linux/2013-05/84174.htm

Ubuntu 12.04 下安装Wireshark http://www.linuxidc.com/Linux/2012-06/63582.htm

Linux中从普通用户启动Wireshark抓包 http://www.linuxidc.com/Linux/2012-06/63580.htm

附上出处链接：http://www.linuxidc.com/Linux/2014-09/106522.htm

Wireshark是不推荐使用root用户去跑的，原因大家都懂，就是不够安全，而且wireshark有些个性化配置的东西，当然是保存到普通用户下比较好。

可是抓包需要root权限。

官方的解决方案如下：

https://wiki.wireshark.org/CaptureSetup/CapturePrivileges

---