Wireshark入门与进阶系列(一)

摘自http://blog.csdn.net/howeverpf/article/details/40687049

Wireshark入门与进阶系列(一)

“君子生非异也，善假于物也”---荀子

本文由CSDN-蚍蜉撼青松 【主页：http://blog.csdn.net/howeverpf】原创，转载请注明出处！

你在百度上输入关键字“Wireshark、使用、教程”，可以找到一大堆相关的资料。那么问题来了，

为什么我还要写这个系列的文章？

前面你能搜到的那些资料，大部分可能存在两个小问题：

1. 网上大部分资料引自(or译自)Wireshark官方的用户手册，或使用类似于用户手册的写法，它们很详细的告诉你Wireshark有哪些窗
   口、菜单、选项，这些窗口、菜单、选项可以完成什么功能。这对于一个已有基本的使用经验，遇到了疑难杂症需要查询解决的人可能是有效的；对于一个虽无使用
   经验，但空闲时间很多，出于兴趣想全面了解这个工具的人也是合适的；可是对于那些没用用过Wireshark，不求全解，只是因为某种需求，想要快速使用
   Wireshark完成某个任务的小菜们，肯定是不合适的。
2. 网上大部分资料都有些年头了，因为客观因素制约，大部分资料对应的
   Wireshark版本止步于1.08.x。而当前Wireshark的测试版已经更新到1.99.0，稳定版也已经更新到1.12.1（连我这种习惯慢
   半拍的人使用的都已经是1.10.0……）资料已经有了一丢丢的滞后性。

       That's why I write these articles.
基于第一点，本系列文章除非是专门做窗口功能介绍，否则一律采用“问题/需求-->流程/步骤-->附注/说明”的形式书写；基于第二点，本
系列文章文默认使用的Wireshark版本是1.10.0rc2（下图1是该版本启动后会首先出现的引导界面）。

一、使用Wireshark进行抓包的最基本流程

       有些时候，我们只需要用Wireshark简单的捕获一些数据包看看当前的网络运行情况或是本机通信情况，对数据包的类型和内容并没有一个预期的明确要求，这种情况下，流程很简单：

1. “启动软件-->选定网卡（网络接口卡的俗称，一般也简称为接口，即Interface）并开始抓包-->停止抓包-->数据包保存”

1.1 启动软件

     
 与老版Wireshark启动后直接进入主界面不同，1.8.x版本开始，软件启动后首先出现的是下图所示的引导界面。该界面中包含了
Wireshark几大最常用功能的快捷按钮，分为Capture、Capture Help、Files、Online四大部分。

图1-1 新版Wireshark引导界面

1.2 选定网卡并开始抓包

       本篇暂时只关注实时数据包捕获，所以我们把目光聚焦到前图1-1左上角的“Capture”部分，如下：

图1-2 新版Wireshark引导界面中与数据包实时捕获相关的部分

该部分存在三个快捷按钮，分别是：Interface List（网卡详细信息列表）、Start（开始抓包），以及Capture Options（捕获选项）。其中“Start”按钮下方是一个简要的网卡列表。当我们在自己的PC上使用Wireshark时，一般我们都对PC上各个网卡的运行情况比较清楚。比如我现在没有插网线，使用的是室友共享出来的WiFi，那正在通信的肯定就只有无线网卡。所以我要抓包，就要先点选图1-2中“Start”按钮下方的“无线网络连接”（若需复选，使用Ctrl键）【中下方黑色方框标注】，然后点击“Start”按钮【中上方黑色椭圆框标注】，Wireshark就开始抓包了。

有些时候我们可能不是很清楚主机上的网卡运行情况，这个时候就需要先点击图1-2中的“Interface List”按钮，弹出如下的网卡详细信息列表，

图1-3 网卡详细信息列表

上图中可以直观地看到各个网卡的上下行数据包计数【右上方黑色圆角方框标注】，根据这一信息，我们可以很明显看出当前只有“无线网络连接”在通信，因此
勾选该网卡前面的复选框【左上方靛青色椭圆框标注】，然后点击“Start”按钮【中下方黑色椭圆框标注】，Wireshark也就开始抓包了。

1.3 停止抓包

想抓的数据包抓完了，就要让Wireshark停下来。手动停止抓包有三种基本的方式，

1. 使用Ctrl+E组合键
2. 菜单栏【图1-1上部标注】：依次点击"Capture"-->"Stop"【图1-4所示】
3. 工具栏【图1-1上部标注】：点击【第四个方形的按钮，图1-5中黑色椭圆框标注】

图1-4 Capture菜单

图1-5 工具栏

1.4 数据包保存

完成数据包的捕获后，可能我们并不急着马上做分析，或者说当前能做的分析还不够完整，需要后面来加深……如此种种，我们需要用文件保存这些数据包。

保存数据包也有三种方式，

1. 使用Ctrl+S组合键；
2. 菜单栏：依次点击"File"-->"Save"
3. 工具栏：点击【第7个按钮，图1-5中黑色圆角方框标注】

而后弹出如下的窗口，

图1-6 Wireshark支持的数据包存储格式

新版Wireshark存储数据包的时候支持很多格式【图1-6中黑色圆角方框标注】。可以看到，默认使用的保存类型是pcapng，这可能是一个优点很多的格式，但出于兼容性的考虑，我还是建议你在存包的时候把存储格式设置为第二个选项【图1-6的黑色圆角方框中着色标注】。这主要是因为pcapng还是一个新玩意，支持他的软件还不够多。

有时候，我们捕获的数据包不止是自己看，还要给同伴分析，如果你的同伴使用的是1.8.x以前的Wireshark版本或者其它他更顺手的工具，那么在业界获得广泛支持的pcap格式一定能为你们的沟通架起快捷的大桥。

保存数据包时，左下角还有一个选项“Compress with gzip”【图1-6中黑色椭圆框标注】，如果你勾选了这个选项，那么会对保存的文件再进行gzip压缩。一般保存数据包的时候都不需要特别勾选这个选项，因为数据包少的时候根本没压缩的必要，数据包多的时候也完全可以保存了文件之后，自己再用压缩软件打包。

至此，最基本的抓包流程就算是介绍完了，本文到此结束，下篇文章将会介绍Capture Options各项的含义与设置，欢迎继续关注！