Wireshark入门与进阶---数据包捕获与保存的最基本流程

Wireshark入门与进阶系列(一)

“君子生非异也。善假于物也”---荀子

本文由CSDN-蚍蜉撼青松 【主页：http://blog.csdn.net/howeverpf】原创，转载请注明出处！

你在百度上输入keyword“Wireshark、使用、教程”。能够找到一大堆相关的资料。那么问题来了，

为什么我还要写这个系列的文章？

前面你能搜到的那些资料，大部分可能存在两个小问题：

1. 网上大部分资料引自(or译自)Wireshark官方的用户手冊，或使用类似于用户手冊的写法。它们非常具体的告诉你Wireshark有哪些窗体、菜单、选项，这些窗体、菜单、选项能够完毕什么功能。

   这对于一个已有主要的使用经验。遇到了疑难杂症须要查询解决的人可能是有效的；对于一个虽无使用经验，但空暇时间非常多。出于兴趣想全面了解这个工具的人也是合适的；但是对于那些没用用过Wireshark，不求全解。仅仅是由于某种需求。想要高速使用Wireshark完毕某个任务的小菜们，肯定是不合适的。

2. 网上大部分资料都有些年头了。由于客观因素制约，大部分资料相应的Wireshark版本号止步于1.08.x。而当前Wireshark的測试版已经更新到1.99.0，稳定版也已经更新到1.12.1（连我这样的习惯慢半拍的人使用的都已经是1.10.0……）资料已经有了一丢丢的滞后性。

       That's why I write these articles. 基于第一点，本系列文章除非是专门做窗体功能介绍，否则一律採用“问题/需求-->流程/步骤-->附注/说明”的形式书写；基于第二点。本系列文章文默认使用的Wireshark版本号是1.10.0rc2（下图1是该版本号启动后会首先出现的引导界面）。

一、使用Wireshark进行抓包的最基本流程

       有些时候，我们仅仅须要用Wireshark简单的捕获一些数据包看看当前的网络执行情况或是本机通信情况，对数据包的类型和内容并没有一个预期的明白要求。这样的情况下，流程非常easy：

“启动软件-->选定网卡（网络接口卡的俗称。一般也简称为接口。即Interface）并開始抓包-->停止抓包-->数据包保存”

1.1 启动软件

       与老版Wireshark启动后直接进入主界面不同，1.8.x版本号開始。软件启动后首先出现的是下图所看到的的引导界面。该界面中包括了Wireshark几大最经常使用功能的快捷button，分为Capture、Capture Help、Files、Online四大部分。

图1-1 新版Wireshark引导界面

1.2 选定网卡并開始抓包

       本篇临时仅仅关注实时数据包捕获，所以我们把目光聚焦到前图1-1左上角的“Capture”部分。例如以下：

图1-2 新版Wireshark引导界面中与数据包实时捕获相关的部分

该部分存在三个快捷button，各自是：Interface List（网卡具体信息列表）、Start（開始抓包），以及Capture Options（捕获选项）。

当中“Start”button下方是一个简要的网卡列表。当我们在自己的PC上使用Wireshark时。一般我们都对PC上各个网卡的执行情况比較清楚。

比方我如今没有插网线。使用的是室友共享出来的WiFi，那正在通信的肯定就仅仅有无线网卡。所以我要抓包，就要先点选图1-2中“Start”button下方的“无线网络连接”（若需复选。使用Ctrl键）【中下方黑色方框标注】，然后点击“Start”button【中上方黑色椭圆框标注】，Wireshark就開始抓包了。

有些时候我们可能不是非常清楚主机上的网卡执行情况。这个时候就须要先点击图1-2中的“Interface List”button，弹出例如以下的网卡具体信息列表。

图1-3 网卡具体信息列表

上图中能够直观地看到各个网卡的上下行数据包计数【右上方黑色圆角方框标注】。依据这一信息，我们能够非常明显看出当前仅仅有“无线网络连接”在通信。因此勾选该网卡前面的复选框【左上方靛青色椭圆框标注】，然后点击“Start”button【中下方黑色椭圆框标注】，Wireshark也就開始抓包了。

1.3 停止抓包

想抓的数据包抓完了，就要让Wireshark停下来。手动停止抓包有三种主要的方式，

1. 使用Ctrl+E组合键
2. 菜单条【图1-1上部标注】：依次点击"Capture"-->"Stop"【图1-4所看到的】
3. 工具栏【图1-1上部标注】：点击【第四个方形的button，图1-5中黑色椭圆框标注】

图1-4 Capture菜单

图1-5 工具栏

1.4 数据包保存

完毕数据包的捕获后。可能我们并不急着立即做分析，或者说当前能做的分析还不够完整，须要后面来加深……如此种种。我们须要用文件保存这些数据包。

保存数据包也有三种方式，

1. 使用Ctrl+S组合键；
2. 菜单条：依次点击"File"-->"Save"
3. 工具栏：点击【第7个button，图1-5中黑色圆角方框标注】

而后弹出例如以下的窗体，

图1-6 Wireshark支持的数据包存储格式

新版Wireshark存储数据包的时候支持非常多格式【图1-6中黑色圆角方框标注】。能够看到。默认使用的保存类型是pcapng，这可能是一个长处非常多的格式，但出于兼容性的考虑，我还是建议你在存包的时候把存储格式设置为第二个选项【图1-6的黑色圆角方框中着色标注】。

这主要是由于pcapng还是一个新玩意。支持他的软件还不够多。

有时候。我们捕获的数据包不止是自己看，还要给同伴分析，假设你的同伴使用的是1.8.x曾经的Wireshark版本号或者其他他更顺手的工具。那么在业界获得广泛支持的pcap格式一定能为你们的沟通架起快捷的大桥。

保存数据包时，左下角另一个选项“Compress with gzip”【图1-6中黑色椭圆框标注】。假设你勾选了这个选项，那么会对保存的文件再进行gzip压缩。一般保存数据包的时候都不须要特别勾选这个选项，由于数据包少的时候根本没压缩的必要。数据包多的时候也全然能够保存了文件之后，自己再用压缩软件打包。

至此。最主要的抓包流程就算是介绍完了，本文到此结束，下篇文章将会介绍Capture Options各项的含义与设置。欢迎继续关注。

------本文由CSDN-蚍蜉撼青松【主页：http://blog.csdn.net/howeverpf】原创，转载请注明出处！

------