1 Wireshark介绍
Wireshark 是开源网络包分析工具,支持Windows/Linux/Unix环境。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。可以从网站下载最新版本的Wireshark (http://www.wireshark.org/download.html 。 Wireshark通常在4-8周内发布一次新版本。目前我司主流的版本是wireshark 3.0.0,主要是试用该版本进行协议分析。
2 功能介绍
Wireshark支持图形和命令行两种抓报文方式。
3 图形界面抓报文
3.1 选择网卡抓报文
第一步 打开wireshark抓包软件,点击“Capture–>Interfaces”,如图3-1
图3-1选择网卡
第二步 选择抓包的网卡,点击”Strart“开始抓包,这样将抓取流经此网卡的所有报文,并临时保存在内存中。因此,如果持续抓包将消耗掉系统所有内存。如图3-2和图3-3
图3-2启动抓包
图3-3抓包界面 图标 说明 重新抓报文 停止抓报文 表1-1
3.2 显示报文抓取时间
打开wireshark抓包软件,点击“View–>TimeDisplay Format–>Date and Time of Day”,如图3-4和图3-5
图3-4 效果图: 图3-5
3.3 Wireshark界面布局
Wireshark界面主要分为三部分(如图3-6),区域一显示抓取的报文,区域二显示选中报文的包头详细信息,区域三显示选中报文的详细信息,默认以十六进制显示。
图3-6 功能 说明 区域一 显示抓取的报文 区域二 显示选中报文的包头详细信息 区域三 显示选中报文的详细信息,默认以十六进制显示 Packets 抓取的所有报文计数 Displayed 满足过滤条件的报文计数 表1-2
3.4 报文过滤条件 - Wireshark能够根据应用的需要设置灵活方便的过滤条件
| 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
