我是如何使用wireshark軟件的

長按二維碼識別關(guān)注

技術(shù)共享|資料共享|溝通交流

開始界面

WireShark 主要分為這幾個界面：

1. Display Filter(顯示過濾器)，?用于過濾。

2. Packet List Pane(封包列表)，顯示捕獲到的封包， 有源地址和目標(biāo)地址，端口號。顏色不同，代表。

3. Packet Details Pane(封包詳細(xì)信息),顯示封包中的字段。

4. Dissector Pane(16進(jìn)制數(shù)據(jù))。

5. Miscellanous(地址欄，雜項(xiàng))。

常用操作按鈕

①開始捕獲，②停止捕獲，③重新捕獲

過濾器會幫助我們在大量的數(shù)據(jù)中迅速找到我們需要的信息。

比如上圖的過濾方式，只會顯示TCP端口為5005的通信數(shù)據(jù)包。

過濾器有兩種：

一、顯示過濾器

就是主界面上那個，用來在捕獲的記錄中找到所需要的記錄。

二、捕獲過濾器

用來過濾捕獲的封包，以免捕獲太多的記錄，在捕獲->捕獲過濾器中設(shè)置。這種適用于只抓取某個通道的通信。

保存顯示過濾

通常情況下，我們在工作中每次打開wireshark都是抓取同樣類型的數(shù)據(jù)，比如公司產(chǎn)品的默認(rèn)TCP的端口是5005，也就是上面的tcp.port== 5005。我們不希望每次打開wireshark時都重新輸入一遍過濾表達(dá)式，我們可以保存下來。

再輸入表達(dá)式后，點(diǎn)擊左側(cè)的書簽按鈕，選擇保存此過濾器。

然后修改名字。

下次點(diǎn)擊左側(cè)書簽，可以直接選擇這個保存顯示過濾條件，不用重復(fù)輸入。

1. 協(xié)議過濾

比如TCP，只顯示TCP協(xié)議。

2. IP 過濾

比如ip.src ==192.168.1.102 顯示源地址為192.168.1.102。

ip.dst==192.168.1.102, 目標(biāo)地址為192.168.1.102。

3. 端口過濾

tcp.port ==80,? 端口為80的。

tcp.srcport == 80,? 只顯示TCP協(xié)議的為端口為80的。

4. Http模式過濾

http.request.method==”GET”,?? 只顯示HTTPGET方法的。

5. 邏輯運(yùn)算符為AND/ OR

常用的過濾表達(dá)式：

封包詳細(xì)信息(Packet Details Pane)面板是我們最重要的，用來查看協(xié)議中的每一個字段。

各行信息分別為：

Frame:???物理層的數(shù)據(jù)幀概況。

Ethernet?II:?數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息。

Internet Protocol Version 4:?互聯(lián)網(wǎng)層IP包頭部信息。

Transmission Control Protocol:??傳輸層的數(shù)據(jù)段頭部信息，此處是TCP。

Data：應(yīng)用層的信息。

wireshark與對應(yīng)的TCP/IP四層模型

設(shè)置方法：捕獲->選項(xiàng)->輸出。

在實(shí)際項(xiàng)目中，有些嵌入式設(shè)備并不是和PC進(jìn)行數(shù)據(jù)通信，可能與另一臺嵌入式設(shè)備通信。這時候我們要借助帶有端口鏡像的交換機(jī)進(jìn)行數(shù)據(jù)監(jiān)控。如下圖，將交換機(jī)端口配置成3是2的鏡像，配合wireshark的自動保存功能，可以監(jiān)控一個網(wǎng)絡(luò)設(shè)備的全部數(shù)據(jù)包。

比如協(xié)議分級。協(xié)議分級統(tǒng)計(jì)窗口顯示為，捕捉文件包含的所有協(xié)議和樹狀分支；分組百分比永遠(yuǎn)按照的是相同協(xié)議層。

再比如可以展示TCP的吞吐量。