Wireshark数据抓包教程之Wireshark捕获数据

Wireshark数据抓包教程之Wireshark捕获数据

Wireshark抓包方法

在使用Wireshark捕获以太网数据，可以捕获分析到自己的数据包，也可以去捕获同一局域网内，在知道对方IP地址的情况下，捕获到对方的数据包。

Wireshark捕获自己的数据包

如果客户端经过路由器直接上网，如图1.28所示。在该图中，PC机A安装Wireshark，可以在该主机上直接捕获自己的数据。

 

图1.28  在主机上捕获数据

Wireshark捕获别人的数据包

如果都在一个局域网内，而且知道别人的IP地址的话，也可以利用Wireshark捕获到别人的数据包。具体方法如下：

1.端口映射

局域网内，在同一交换机下工作的PC机，如图1.29所示。PC机A和PC机B在同一交换机下工作，PC机A安装Wireshark后，把交换机上任意一个PC机的数据端口做镜像，设置交换机来复制所有数据到用户交换端口下的Wireshark端口，这时PC机A就可以抓取到其他PC机的数据了，如抓取PC机B的数据。

2.使用集线器

我们可以把图1.29中的交换机换成集线器，这样的话所有的数据包都是通发的。也就是说，不管是谁的数据包都会发到这个集线器上的每一个计算机。只要将网卡设置为混杂模式就能抓到别人的包。

3.利用ARP欺骗

我们都知道，发送、接受数据都要经过路由器，如图1.30所示。该图中PC机A安装Wireshark后，可以利用ARP欺骗，来抓取PC机B、PC机C或PC机B与PC机C之间的数据包了。PC机A在局域网内发送ARP包，使其他计算机都误以为它是网关。这样的话，其他计算机都会将它们的数据包发送到PC机A那里，因此PC机A就可以抓到它们的包了。

图1.29  捕获PC机B数据包              图1.30  捕获数据包

Wireshark捕获数据

通过上述的学习，下载安装好Wireshark后，就可以利用它来捕获数据了。下面以开发版（中文版）1.99.7为例讲解如何来捕获数据。

Wireshark如何捕获数据

在Windows窗口程序中启动Wireshark，如图1.31所示的界面。

 

图1.31  Wireshark主界面 图1.32  捕获网络数据

在该界面可以看到本地连接、VMware Network Adapter VMnet1、VMware Network Adapter VMnet8，这是3个捕获网络接口。本机中有3个，如果使用其他电脑网络捕获接口可能是不同的。只有选择了捕获网络接口，才能进行捕获网络数据。因此首先选择网络接口。这里选择本地连接作为捕获网络接口，然后单击图中按钮，将进行捕获网络数据，如图1.32所示。

单击图中的按钮停止捕获。我们可以把捕获到的数据保存起来。单击图中的按钮，显示如图1.33所示的界面。

图1.33  保存捕获数据 图1.34  打开捕获文件

在该界面可以选择保存捕获数据的位置，并对保存的文件进行命名。然后单击“保存”按钮即可。这里保存在桌面，文件名称为Wireshark。

Wireshark打开捕获文件

当我们把捕获到的数据保存起来，以便下次查看。那么怎么去打开已经捕获好的文件呢？这里将做一个介绍。

（1）在启动Wireshark的界面中，单击打开按钮，弹出打开对话框，如图1.34所示。

（2）在该界面选择捕获文件保存的位置，然后单击“打开”按钮即可打开捕获的文件。

Wireshark快速入门

在学会使用Wireshark捕获数据的基础上，还要进一步的理解Wireshark各部分的用途。本节将进行详细讲解。

Wireshark主窗口界面介绍

打开一个捕获文件，如图1.35所示：

 

图1.35  Wireshark主窗口界面   图1.36  菜单栏

在图1.35中，以编号的形式已将Wireshark每部分标出。下面分别介绍每部分的含义，如下所示：

• q  ①标题栏——用于显示文件名称、捕获的设备名称。
• q  ②菜单栏——Wireshark的标准菜单栏。
• q  ③工具栏——常用功能快捷图标按钮。
• q  ④显示过滤区域——减少查看数据的复杂度。
• q  ⑤Packet List面板——显示每个数据帧的摘要。
• q  ⑥Packet Details面板——分析封包的详细信息。
• q  ⑦Packet Bytes面板——以十六进制和ASCII格式显示数据包的细节。
• q  ⑧状态栏——分组、已显示、已标记帧的数量，配置文件。

以上简单的介绍了Wireshark主窗口界面的各部分的含义，下面对每一个部分进行详细的介绍

Wireshark菜单栏介绍

Wireshark的菜单栏界面如图1.36所示。在该界面中被涂掉的两个菜单，在工具栏中进行介绍。

该菜单栏中每个按钮的作用如下所示：

• q  文件：打开文件集、保存包、导出HTTP对象。
• q  编辑：搜索包、标记包及设置时间属性等。
• q  视图：查看/隐藏工具栏和面板、编辑Time列、重设颜色等。
• q  分析：创建显示过滤器宏、查看启用协议、保存关注解码。
• q  统计：构建图表并打开各种协议统计窗口。
• q  电话：执行所有语音功能（图表、图形、回放）
• q  蓝牙：ATT服务设置。
• q  帮助：学习Wireshark全球存储和个人配置文件

Wireshark工具栏介绍

当用户详细了解工具栏中每个按钮的作用后，用户就可以快速的进行各种操作。在工具栏中，每个按钮的作用如图1.37所示。

 

图1.37  工具栏   图1.38  Wireshark面板

Wireshark面板介绍

Wireshark有三个面板，分别是Packet List面板、Packet Details面板、Packet Bytes面板。这三个面板的位置，如图1.38所示。

在该界面将三个面板已经标出。这三个面板之间是互相关联的，如果希望在Packet Details面板中查看一个单独的数据包的具体内容，必须在Packet List面板中单击选中那个数据包。选中该数据包之后，才可以通过在Packet Details面板中选择数据包的某个字段进行分析，从而在Packet Bytes面板中查看相应字段的字节信息。下面介绍面板的内容。

1.Packet List面板

该面板用表格的形式显示了当前捕获文件中的所有数据包。从图1.38中，可以看到该面板中共有七列，每列内容如下所示：

• q  No（Number）列：包的编号。该编号不会发生改变，即使使用了过滤也同样如此。
• q  Time列：包的时间戳。时间格式可以自己设置。
• q  Source和Destination列：显示包的源地址和目标地址。
• q  Protocol列：显示包的协议类型。
• q  Length列：显示包的长度。
• q  Info列：显示包的附加信息。

在该面板中，可以对面板中的列进行排序、调整列位置、隐藏列、显示列、重命名或删除列等操作。下面以例子的形式将分别介绍在该面板中可操作的功能。

【实例1-4】演示Packet List面板中可实现的功能。如下所示：

（1）列排序

打开一个捕获文件http.pcapng，如图1.39所示。

 

图1.39  http.pcapng捕获文件 图1.40  排序Protocol列

该界面显示了http.pcapng捕获文件中的数据包。默认Wireshark是以数据包编号由低到高排序。例如，要对Protocol列排序，单击Protocol列标题，将显示如图1.40所示的界面。

将该界面与图1.39进行比较，可以发现有很大变化。从该界面可以看到No列的顺序发生了变化，协议列开始都为ARP。

（2）移动列位置

如移动http.pcapng捕获文件中的Protocol列，到Time后面。使用鼠标选择Protocol列，然后拖拽该列到Time后面，将显示如图1.41所示的界面。

 

图1.41  移动Protocol列 图1.42  列操作选项

（3）隐藏、重命名、删除列

在捕获文件http.pacpng中，右键单击Packet List面板的任意列标题，将弹出一个下拉菜单，如图1.42所示。

• q  隐藏列、恢复列：在弹出的菜单中可以看到Packet List面板中的七列标题前都有对勾。想隐藏哪列，单击该列，对勾消失菜单消失该列隐藏。如想恢复该列，右击Packet List面板中任意列的标题，以同样的方式即可恢复。
• q  重命名列：在弹出的菜单中单击编辑列，显示如图1.43所示的界面。

图1.44  Wireshark首选项

该界面出现在Packet List面板的上方，在该界面的左端的标题文本框进行重命名。然后单击右端的确定按钮即可

• q  删除列、恢复列：在弹出的菜单中单击最下面的删除本列选项即可。恢复列需单击Column Preferences...选项，（或者在菜单栏中依次选择“编辑”|“首选项”，在弹出的界面左侧单击列即可）弹出Wireshark首选项框。如图1.44所示。

单击左下角的按钮，自动新建了一个标题为New Column的列，并且类型为Number。可以双击标题和类型进行更改。创建好以后单击OK按钮即可。

在Wireshark中，还可以对Packet List面板中所有数据包进行许多操作，如标记、忽略、设置分组等。用户可以通过右键单击任何一个数据包，查看可用的选项，如图1.45所示。

 

图1.45  可用选项 图1.46  菜单栏 

在该界面显示了在Packet List面板中，数据包的可用选项。在该选项中，使用标记分组可以快速的找出有问题的数据包。

2.Packet Details面板

该面板分层次地显示了一个数据包中的内容，并且可以通过展开或收缩来显示这个数据包中所捕获到的全部内容。

在Packet Details面板中，默认显示的数据的详细信息都是合并的。如果要查看，可以单击每行前面的小三角展开帧的会话。用户也可以选择其中一行并右键单击，弹出菜单栏。如图1.46所示。

在菜单栏中选择展开子树（单个会话）或展开全部会话。

3.Packet Bytes面板

该面板中的内容可能是最令人困惑的。因为它显示了一个数据包未经处理的原始样子，也就是其在链路上传播时的样子。

在该面板中的数据是以十六进制和ASCII格式显示了帧的内容。当在Packet Details面板中选择任意一个字段后，在Packet Bytes面板中包含该字段的字节也高亮显示。如果不想看到Packet Bytes面板的话，可以在菜单栏中依次选择“视图”|“分组字节流（B）”命令将其关闭。当查看的时候，使用同样的方法将其打开。

Wireshark状态栏介绍

状态栏是由两个按钮和三列组成的。其中，这三列的大小在必要时可以调整。状态栏中每部分含义如图1.47所示。

 

图1.47  状态栏

下面分别详细介绍下状态栏中每部分的作用。如下所示：

• q  ：该按钮是专家信息按钮。该按钮的颜色是为了显示包含在专家信息窗口中最高水平的信息。专家信息窗口可以提醒用户，在捕获文件中的网络问题和数据包的注释
• q  ：该按钮是捕获文件注释按钮。单击该按钮，可以添加、编辑或查看一个捕获文件的注释。该功能只可以在以.pcapng格式保存的捕获文件使用。
• q  第一列（获取字段、捕获或捕获文件信息）：当在捕获文件中选择某个字段时，在状态栏中将可以看到文件名和列大小。如果点击Packet Bytes面板中的一个字段，将在状态栏中会显示其字段名，并且Packet Details面板也在发生着变化。
• q  第二列（包数）：当打开一个捕获文件时，在状态栏中的第二列将显示该文件的总包数。在图1.47中，显示了捕获的数据包数量、显示包数和加载时间。如果当前捕获文件中有包被标记，则状态栏中将会出现标记包数。
• q  第三列（配置文件）：表示当前使用的文件。在图1.47中，表示正在使用Default 文件。文件可以创建，这样就可以自己定制Wireshark的环境。

本文选自：Wireshark数据抓包基础教程大学霸内部资料，转载请注明出处，尊重技术尊重IT人！