wireshark如何抓取别人电脑的数据包

1、在电脑中，打开wireshark软件。

2、点击抓取网络接口卡选择按钮，选择需要抓取的网卡接口；如果不确定是那个网络接口，则可以看packes项数据变化最多接口，选中它然后点击"start"开始抓包。

3、如果需要进行特别的配置，则需要先进行抓包钱的配置 *** 作，点击途中的配置 *** 作按钮，进入到抓包配置 *** 作界面，进行相应配置；配置完成后点击“start”开始抓包。

4、开始抓包后，可以看到各通过该网络接口的数据报文被抓取到，如果想要只看自己关心的数据包，则可以在"Filter"栏中输入过滤条件即可；过滤条件有多种，具体可以通过百度搜索"wireshark包过滤条件"进行查找。

5、如果没有抓取到想要的数据包，则点击重新抓取按钮即可；或者抓取到个人需要的数据包之后，可以点击红色的停止按钮即可。

启动wireshark后，选择工具栏中的快捷键（红色标记的按钮）即可Startanewlivecapture。主界面上也有一个interfacelist（如下图红色标记1），列出了系统中安装的网卡，选择其中一个可以接收数据的的网卡也可以开始抓包。在启动时候也许会遇到这样的问题：d出一个对话框说NPFdriver没有启动，无法抓包。在win7或Vista下找到C:\system\system32下的cmdexe以管理员身份运行，然后输入netstartnpf，启动NPf服务。重新启动wireshark就可以抓包了。抓包之前也可以做一些设置，如上红色图标记2，点击后进入设置对话框，具体设置如下：Interface：指定在哪个接口（网卡）上抓包（系统会自动选择一块网卡）。Limiteachpacket：限制每个包的大小，缺省情况不限制。Capturepacketsinpromiscuousmode：是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。Filter：过滤器。只抓取满足过滤规则的包。File：可输入文件名称将抓到的包写到指定的文件中。Useringbuffer：是否使用循环缓冲。缺省情况下不使用，即一直抓包。循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。Updatelistofpacketsinrealtime：如果复选框被选中，可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。单击“OK”按钮开始抓包，系统显示出接收的不同数据包的统计信息，单击“Stop”按钮停止抓包后，所抓包的分析结果显示在面板中，如下图所示：为了使抓取的包更有针对性，在抓包之前，开启了QQ的视频聊天，因为QQ视频所使用的是UDP协议，所以抓取的包大部分是采用UDP协议的包。3、对抓包结果的说明wireshark的抓包结果整个窗口被分成三部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。使用wireshark可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等。上图的数据包列表中，第一列是编号（如第1个包），第二列是截取时间（0000000），第三列source是源地址（1151553993），第四列destination是目的地址（11515539112），第五列protocol是这个包使用的协议（这里是UDP协议），第六列info是一些其它的信息，包括源端口号和目的端口号（源端口：58459，目的端口：54062）。中间的是协议树，如下图：通过此协议树可以得到被截获数据包的信息，如主机的MAC地址（EthernetII）、IP地址（Internetprotocol）、UDP端口号（userdatagramprotocol）以及UDP协议的具体内容（data）。最下面是以十六进制显示的数据包的具体内容，如图：这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便的对各种协议的数据包进行分析。4、验证网络字节序网络上的数据流是字节流，对于一个多字节数值（比如十进制1014=0x03f6），在进行网络传输的时候，先传递哪个字节，即先传递高位“03”还是先传递低位“f6”。也就是说，当接收端收到第一个字节的时候，它是将这个字节作为高位还是低位来处理。下面通过截图具体说明：最下面是物理媒体上传输的字节流的最终形式，都是16进制表示，发送时按顺序先发送002354c3…0003f6…接收时也按此顺序接收字节。选中totallength：1014，它的十六进制表示是0x03f6，从下面的蓝色选中区域可以看到，03在前面，f6在后面，即高字节数据在低地址，低字节数据在高地址（图中地址从上到下从左到右依次递增），所以可知，网络字节序采用的是大端模式。

centos安装wireshark相简单两条命令够主要记录写使用面东西

安装:

1、yum install wireshark注意并使用wireshark命令图形界面提供抓包基本功能

2、yum install wireshark-gnome便使用

能登录图形界面终端使用windows区别我服务器都外要管理都SSH登录能用命令行使用wireshark命令行工具tshark安装候默认给安装使用简单要捕捉包： tshark -wpackettxt -i etho -q 捕捉网络包存放packettxt文件面要查看详情： tshark -rpackettxt -x -V|more即

面理所参数作用:

-a

设置标准用指定Wireshark候停止捕捉文件标准格式 test:value,test值面

duration:value

捕捉持续描述超Value值停止写入捕捉文件

filesize:value

捕捉文件达Value值kilobytes(kilobytes表示1000bytes,1024 bytes)停止写入捕捉文件该选项-b选项同使用Wireshark达指定文件停止写入前捕捉文件并切换文件

files:value

文件数达Value值停止写入捕捉文件

-b

指定捕捉文件尺寸Wireshark运行ring buffer模式指定文件数ring buffer模式Wireshark 写捕捉文件名字由文件数创建期间决定

第捕捉文件写满Wireshark跳转文件写入直写满文件Wireshark丢弃第文件数据(除非files设置0设置0没文件数限制)数据写入该文件

duration选项指定捕捉持续间达指定值秒数Wireshark同切换文件即使文件未写满

duration:value

捕捉持续描述超Value值即使文件未写满切换文件继续写入

filesize:value

文件达value值kilobytes(kelobyte表示1000bytes,1024bytes)切换文件

files:value

文件数达value值第文件重新始写入

-B

仅适合Win32:设置文件缓冲(单位MB,默认1MB)捕捉驱用缓冲包数据直达缓冲才写入磁盘捕捉碰丢包现象尝试增

-c

实捕捉指定捕捉包数目通连接词-k选项使用

-D

打印Wireshark用于捕捉接口列表每接口都编号名称(能紧跟接口描述)打印接口名或接口编号提供给-i参数指定进行捕捉接口(打印应该说屏幕打印)

些没命令显示列表平台(例Windows,或者缺少ifconfig -a命令UNIX平台)命令用;接口编号Windows 2000及续平台接口名称通些复杂字符串使用接口编号更便点

注意Wireshark用于捕捉意思说：Wireshark打设备进行实捕捉；平台进行网络捕捉需要使用特殊权限帐号(例rootWindowsAdministrators组)没些权限账户添加-D显示任何接口参数

-f

设置捕捉内置滤表达式

-g 使用-r参数读取捕捉文件使用该参数跳转指定编号包

-h

-h选项请求Wireshark打印该版本命令使用(前面显示)退

-i

设置用于进行捕捉接口或管道

网络接口名称必须匹配Wireshark -D；使用Wireshark -D显示编号使用UNIX,netstat -i或者ifconfig -a获接口名使用所UNIX平台都支持-a,ifconfig参数

未指定参数Wireshark搜索接口列表选择第非环接口进行捕捉没非环接口选择第环接口没接口wireshark报告错误执行捕捉 *** 作

管道名即FIFO(已命名管道)使用-读取标准输入管道读取数据必须标准libpcap格式

-k

-k选项指定Wireshark立即始捕捉选项需要-i参数配合使用指定捕捉产哪接口包

-l

打自滚屏选项捕捉新数据进入自翻Packet list面板（同-S参数）

-m

设置显示字体（编者认应该添加字体范例）

-n

显示网络象名字解析(例TCP,UDP端口名主机名)

-N

特定类型址端口号打名字解析功能；该参数字符串使用m启MAC址解析n启网络址解析t启传输层端口号解析些字符串-n-N参数同存优先级高于-n字母C启同(异步)DNS查询

-o 设置首选项或前值覆盖默认值或其Preference/recent file读取参数、文件该参数值字符串形式 prefname:value,prefnmae首选项选项名称(现preference/recent file名称)value首选项参数应值-o 使用单独命

设置单独首选项例：

wireshark -o mgcpdisplay_dissect_tree:TRUE

设置首选项参数例：

wireshark -o mgcpdisplay_dissect_tree:TRUE -o mgcpudpcallagent_port:2627-p

接口设置杂收模式注意能某些原依于杂收模式；-p能确定接口否仅捕捉自发送或接受包及该址广播包播包

-Q

禁止Wireshark捕捉完退-c选项起使用必须现-i -w连接词

-r

指定要读取显示文件名捕捉文件必须Wireshark支持格式

-R

指定文件读取应用滤滤语使用显示滤语匹配包显示

-s

设置捕捉包快照度Wireshark届仅捕捉每包字节数据

-S

Wireshark捕捉数据立即显示通进程捕捉数据另进程显示数据捕捉选项框Update list of packets in real time/实显示数据功能相同

-t

设置显示间戳格式用格式

r 相设置所包间戳显示相于第包间

a absolute,设置所包显示绝间

ad 绝期设置所包显示绝期间

d delta 设置间戳显示相于前包间

e epoch 设置间戳显示epoch起妙数(19701月1 00:00:00起)

-v

请求Wireshark打印版本信息退

-w

保存文件savefile所填字符文件名

-y

捕捉带-k参数-y指定捕捉包数据链接类型The values reported by -L are the values that can be used

-X

设置选项传送给TShark 模块eXtension 选项使用extension_key:值形式extension_key:：

lua_script:lua_script_filename,告诉Wireshark载入指定脚本默认脚本Lua scripts

-z

Wireshark种类型统计信息显示结实更新窗口

用LogParser析WireShark包

用wireshark只能捕获到程序安装所在计算机上的数据包，dns解析是一个涉及不同域名服务器的过程，你无法在本机上得知全部过程，但是能捕获到解析请求和最终的返回结果。

1、首先打开wireshak，开始捕捉。

2、打开浏览器，访问网站

大概的过程就这些，等网站被打开，你所描述的数据基本上都有了。

分析其中的数据，dns、tcp握手等都在其中。看协议类型即可。

ip地址、mac地址也在数据包中，wireshark默认不显示mac地址，你可以在column preferences中添加新栏目hardware src（des） address即可

下面是数据包的截图，前两个dns，后面是tcp握手，接下来就是>

修改TTL值为1 ，ping百度前后对比图。

修改前成功ping通，修改后ping失败。

TTL：数据报文的生存周期。在网络中每经过一个网络设备它的值-1，linux默认值是64。

TTL作用：防止数据包在公网中无限制的转发。

二、同时wireshark抓icmp包，显示发送的两个包的TTL值都为1；TTL值改为2时，抓包也得到TTL值为2；改为默认值后，回到最初状态。

三、拓展：mtr网络分析工具

1)安装mtr

2)启动mtr

3)mtr测试结果的分析

第一列:host显示的是IP地址和本机域名，这点和tracert很像；

第二列：loss%就是对应IP行的丢包率了，需要注意的是有些丢包是由于icmp的保护机制造成的，并不 代表真的丢包；

第三列:snt每秒发送数据包的数量，默认值是10，可通过参数 -c来指定发包个数；

第四列:Last显示的最近一次的返回时延；

第五列:Avg是平均值 这个应该是发送ping包的平均时延；

第六列:Best是最好或者说时延最短的；

第七列:Wrst是最差或者说时延最常的；

第八列:StDev是标准偏差，统计学名词，一种量度数据分布的分散程度标准，用以衡量数据值偏离算术平均值的程度。标准偏差越小，这些值偏离平均值就越少。

wireshark 抓包是对整个网卡而言的，无法对相应的应用程序进行抓包，但你可以通过分析你的程序进行过滤，比如我要抓浏览器的包，在抓好的包里进行 >

以上就是关于wireshark如何抓取别人电脑的数据包全部的内容，包括:wireshark如何抓取别人电脑的数据包、你好，我看了你关于如何用自己编的C++程序获取wireshark抓取的数据包，并解析。没有太明白。、wireshark有没有提供进展编程或者外部程序调用接口等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！