wireshark从下载到使用

一、下载地址

https://www.wireshark.org/#download

二、安装过程

一路next

三、简介

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

Wireshark主要应用

1、实时抓取数据包并进行分析(抓包模块)
2、对已获取的数据包进行流量分析

四、使用

1、开始页

如果没有显示这些连接需要卸载重装。显示有波浪线的说明有数据包，双击进入。

2、主界面

分组列表:将流量以分组的形式，简单的呈现出来
分组详情:将流量以TCP/IP5层模式形式展现出来
分组字节流:将流量以字节流形式展现也就是16进制

3、快捷键

（1）开始捕获
（2）暂停捕获
（3）重新开始当前捕获
（4）捕获选项（重新选择捕获网络）
（5）打开保存的捕获文件
（6）保存捕获文件
（7）关闭捕获文件（返回开始界面）
（8）重新加载文件（恢复到一开始打开文件的状态）
（9）*查找下一分组
（10）转到前一分组
（11）转到后一分组
（12）转到特定分组
（13）转到首个分组
（14）转到最新分组（以上五个作用与鼠标点击一样）
（15）在实时捕获时，自动滚动屏幕到最新的分组
（16）自定义着色规则来绘制分组
（17）放大主窗口文本
（18）收缩主窗口文字
（19）使主窗口文字返回正常大小
（20）调整分组列表列以适应内容

4、菜单栏
4.1文件

（1）打开
（2）打开最近文件
（3）合并
（4）导入
（5）*导出特定分组
（6）*导出分组解析结果
（7）导出分组字节流
（8）*导出对象

4.2编辑

（1）复制（选中后复制相关信息）
（2）标记/取消标记分组
（3）标记所有显示的分组
（4）取消标记所有显示的分组
（5）分组注释
（6）删除所有分组注释
（7）配置文件（主题设置）
（8）首选项

4.3视图

眼睛能看到的所有设置

4.4跳转

与鼠标作用相似

4.5捕获

4.6*分析

（1）显示过滤器
（2）显示过滤表达式
（3）*应用为列（例：选择端口信息应用为列，则可以在分组列表中看到端口列）
（4）*追踪流

4.7统计

（1）*协议分级
（2）*会话

5、过滤方式
规则：协议名字+字段名＋判断＋值

（1）过滤IP，如来源IP或者目标IP等于某个IP ip.src eq 10.2.6.10 or ip.dst eq 10.2.6.10
（2）过滤端口
tcp.port eq 80 不管端口是来源的还是目标的都显示
tcp.dstport == 80 只显tcp协议的目标端口80
tcp.srcport ==80 只显tcp协议的来源端口80
过滤端口范围
tcp.port >= 1 and tcp.port <=80
（3）过滤协议
例子：tcp udp arp
（4）过滤MAC
以太网头过滤
eth.dst == A0:00:00:04:C5:84//过滤目标mac
eth.src eq A0:00:00:04:C5:84//过滤来源mac
eth.addr eq A0:00:00:04:C5:84//过滤来源MAc和目标MAC都等于A0:00:00:04:C5:84的
（5）包长度过滤
例子:
udp.length == 26这个长度是指udp本身固定长度8加上udp下面那块数据包之和tcp.len >= 7指的是ip数据包(tcp下面那块数据),不包括tcp本身
（6）http模式过滤
例子:
http.request.method ==“GET"
http.request.method ==“POST"
http.request.uri =z ““/img/ogo-edu.gif”
http contains"GET”
http contains"HTTP/1.”