Wireshark数据抓包教程之Wireshark捕获数据

Wireshark数据抓包教程之Wireshark捕获数据

Wireshark抓包方法

在使用Wireshark捕获以太网数据，能够捕获分析到本身的数据包，也能够去捕获同一局域网内，在知道对方IP地址的状况下，捕获到对方的数据包。

Wireshark捕获本身的数据包

若是客户端通过路由器直接上网，如图1.28所示。在该图中，PC机A安装Wireshark，能够在该主机上直接捕获本身的数据。

 

图1.28  在主机上捕获数据

Wireshark捕获别人的数据包

若是都在一个局域网内，并且知作别人的IP地址的话，也能够利用Wireshark捕获到别人的数据包。具体方法以下：

1.端口映射

局域网内，在同一交换机下工做的PC机，如图1.29所示。PC机A和PC机B在同一交换机下工做，PC机A安装Wireshark后，把交换机上任意一个PC机的数据端口作镜像，设置交换机来复制全部数据到用户交换端口下的Wireshark端口，这时PC机A就能够抓取到其余PC机的数据了，如抓取PC机B的数据。

2.使用集线器

咱们能够把图1.29中的交换机换成集线器，这样的话全部的数据包都是通发的。也就是说，不论是谁的数据包都会发到这个集线器上的每个计算机。只要将网卡设置为混杂模式就能抓到别人的包。

3.利用ARP欺骗

咱们都知道，发送、接受数据都要通过路由器，如图1.30所示。该图中PC机A安装Wireshark后，能够利用ARP欺骗，来抓取PC机B、PC机C或PC机B与PC机C之间的数据包了。PC机A在局域网内发送ARP包，使其余计算机都误觉得它是网关。这样的话，其余计算机都会将它们的数据包发送到PC机A那里，所以PC机A就能够抓到它们的包了。

 

图1.29  捕获PC机B数据包              图1.30  捕获数据包

Wireshark捕获数据

经过上述的学习，下载安装好Wireshark后，就能够利用它来捕获数据了。下面以开发版（中文版）1.99.7为例讲解如何来捕获数据。

Wireshark如何捕获数据

在Windows窗口程序中启动Wireshark，如图1.31所示的界面。

 

图1.31  Wireshark主界面 图1.32  捕获网络数据

在该界面能够看到本地链接、VMware Network Adapter VMnet一、VMware Network Adapter VMnet8，这是3个捕获网络接口。本机中有3个，若是使用其余电脑网络捕获接口多是不一样的。只有选择了捕获网络接口，才能进行捕获网络数据。所以首先选择网络接口。这里选择本地链接做为捕获网络接口，而后单击图中按钮，将进行捕获网络数据，如图1.32所示。 

单击图中的按钮中止捕获。咱们能够把捕获到的数据保存起来。单击图中的按钮，显示如图1.33所示的界面。

 

图1.33  保存捕获数据 图1.34  打开捕获文件

在该界面能够选择保存捕获数据的位置，并对保存的文件进行命名。而后单击“保存”按钮便可。这里保存在桌面，文件名称为Wireshark。

Wireshark打开捕获文件

当咱们把捕获到的数据保存起来，以便下次查看。那么怎么去打开已经捕获好的文件呢？这里将作一个介绍。

（1）在启动Wireshark的界面中，单击打开按钮，弹出打开对话框，如图1.34所示。 

（2）在该界面选择捕获文件保存的位置，而后单击“打开”按钮便可打开捕获的文件。

Wireshark快速入门

在学会使用Wireshark捕获数据的基础上，还要进一步的理解Wireshark各部分的用途。本节将进行详细讲解。

Wireshark主窗口界面介绍

打开一个捕获文件，如图1.35所示：

 

图1.35  Wireshark主窗口界面   图1.36  菜单栏

在图1.35中，以编号的形式已将Wireshark每部分标出。下面分别介绍每部分的含义，以下所示：

 

• q  ①标题栏——用于显示文件名称、捕获的设备名称。
• q  ②菜单栏——Wireshark的标准菜单栏。
• q  ③工具栏——经常使用功能快捷图标按钮。
• q  ④显示过滤区域——减小查看数据的复杂度。
• q  ⑤Packet List面板——显示每一个数据帧的摘要。
• q  ⑥Packet Details面板——分析封包的详细信息。
• q  ⑦Packet Bytes面板——以十六进制和ASCII格式显示数据包的细节。
• q  ⑧状态栏——分组、已显示、已标记帧的数量，配置文件。

 

以上简单的介绍了Wireshark主窗口界面的各部分的含义，下面对每个部分进行详细的介绍

Wireshark菜单栏介绍

Wireshark的菜单栏界面如图1.36所示。在该界面中被涂掉的两个菜单，在工具栏中进行介绍。 

该菜单栏中每一个按钮的做用以下所示：

 

• q  文件：打开文件集、保存包、导出HTTP对象。
• q  编辑：搜索包、标记包及设置时间属性等。
• q  视图：查看/隐藏工具栏和面板、编辑Time列、重设颜色等。
• q  分析：建立显示过滤器宏、查看启用协议、保存关注解码。
• q  统计：构建图表并打开各类协议统计窗口。
• q  电话：执行全部语音功能（图表、图形、回放）
• q  蓝牙：ATT服务设置。
• q  帮助：学习Wireshark全球存储和我的配置文件

 

 

Wireshark工具栏介绍

当用户详细了解工具栏中每一个按钮的做用后，用户就能够快速的进行各类操做。在工具栏中，每一个按钮的做用如图1.37所示。

 

图1.37  工具栏   图1.38  Wireshark面板

Wireshark面板介绍

Wireshark有三个面板，分别是Packet List面板、Packet Details面板、Packet Bytes面板。这三个面板的位置，如图1.38所示。 

在该界面将三个面板已经标出。这三个面板之间是互相关联的，若是但愿在Packet Details面板中查看一个单独的数据包的具体内容，必须在Packet List面板中单击选中那个数据包。选中该数据包以后，才能够经过在Packet Details面板中选择数据包的某个字段进行分析，从而在Packet Bytes面板中查看相应字段的字节信息。下面介绍面板的内容。

1.Packet List面板

该面板用表格的形式显示了当前捕获文件中的全部数据包。从图1.38中，能够看到该面板中共有七列，每列内容以下所示：

 

• q  No（Number）列：包的编号。该编号不会发生改变，即便使用了过滤也一样如此。
• q  Time列：包的时间戳。时间格式能够本身设置。
• q  Source和Destination列：显示包的源地址和目标地址。
• q  Protocol列：显示包的协议类型。
• q  Length列：显示包的长度。
• q  Info列：显示包的附加信息。

 

在该面板中，能够对面板中的列进行排序、调整列位置、隐藏列、显示列、重命名或删除列等操做。下面以例子的形式将分别介绍在该面板中可操做的功能。

【实例1-4】演示Packet List面板中可实现的功能。以下所示：

（1）列排序

打开一个捕获文件http.pcapng，如图1.39所示。

 

图1.39  http.pcapng捕获文件 图1.40  排序Protocol列

该界面显示了http.pcapng捕获文件中的数据包。默认Wireshark是以数据包编号由低到高排序。例如，要对Protocol列排序，单击Protocol列标题，将显示如图1.40所示的界面。

将该界面与图1.39进行比较，能够发现有很大变化。从该界面能够看到No列的顺序发生了变化，协议列开始都为ARP。

（2）移动列位置

如移动http.pcapng捕获文件中的Protocol列，到Time后面。使用鼠标选择Protocol列，而后拖拽该列到Time后面，将显示如图1.41所示的界面。

 

图1.41  移动Protocol列 图1.42  列操做选项

（3）隐藏、重命名、删除列

在捕获文件http.pacpng中，右键单击Packet List面板的任意列标题，将弹出一个下拉菜单，如图1.42所示。

 

• q  隐藏列、恢复列：在弹出的菜单中能够看到Packet List面板中的七列标题前都有对勾。想隐藏哪列，单击该列，对勾消失菜单消失该列隐藏。如想恢复该列，右击Packet List面板中任意列的标题，以一样的方式便可恢复。
• q  重命名列：在弹出的菜单中单击编辑列，显示如图1.43所示的界面。

 

 

图1.44  Wireshark首选项

该界面出如今Packet List面板的上方，在该界面的左端的标题文本框进行重命名。而后单击右端的肯定按钮便可

 

• q  删除列、恢复列：在弹出的菜单中单击最下面的删除本列选项便可。恢复列需单击Column Preferences...选项，（或者在菜单栏中依次选择“编辑”|“首选项”，在弹出的界面左侧单击列便可）弹出Wireshark首选项框。如图1.44所示。 

 

单击左下角的按钮，自动新建了一个标题为New Column的列，而且类型为Number。能够双击标题和类型进行更改。建立好之后单击OK按钮便可。

在Wireshark中，还能够对Packet List面板中全部数据包进行许多操做，如标记、忽略、设置分组等。用户能够经过右键单击任何一个数据包，查看可用的选项，如图1.45所示。

 

图1.45  可用选项 图1.46  菜单栏 

在该界面显示了在Packet List面板中，数据包的可用选项。在该选项中，使用标记分组能够快速的找出有问题的数据包。

2.Packet Details面板

该面板分层次地显示了一个数据包中的内容，而且能够经过展开或收缩来显示这个数据包中所捕获到的所有内容。

在Packet Details面板中，默认显示的数据的详细信息都是合并的。若是要查看，能够单击每行前面的小三角展开帧的会话。用户也能够选择其中一行并右键单击，弹出菜单栏。如图1.46所示。 

在菜单栏中选择展开子树（单个会话）或展开所有会话。

3.Packet Bytes面板

该面板中的内容多是最使人困惑的。由于它显示了一个数据包未经处理的原始样子，也就是其在链路上传播时的样子。

在该面板中的数据是以十六进制和ASCII格式显示了帧的内容。当在Packet Details面板中选择任意一个字段后，在Packet Bytes面板中包含该字段的字节也高亮显示。若是不想看到Packet Bytes面板的话，能够在菜单栏中依次选择“视图”|“分组字节流（B）”命令将其关闭。当查看的时候，使用一样的方法将其打开。

Wireshark状态栏介绍

状态栏是由两个按钮和三列组成的。其中，这三列的大小在必要时能够调整。状态栏中每部分含义如图1.47所示。

 

图1.47  状态栏

下面分别详细介绍下状态栏中每部分的做用。以下所示：

 

• q  ：该按钮是专家信息按钮。该按钮的颜色是为了显示包含在专家信息窗口中最高水平的信息。专家信息窗口能够提醒用户，在捕获文件中的网络问题和数据包的注释
• q  ：该按钮是捕获文件注释按钮。单击该按钮，能够添加、编辑或查看一个捕获文件的注释。该功能只能够在以.pcapng格式保存的捕获文件使用。
• q  第一列（获取字段、捕获或捕获文件信息）：当在捕获文件中选择某个字段时，在状态栏中将能够看到文件名和列大小。若是点击Packet Bytes面板中的一个字段，将在状态栏中会显示其字段名，而且Packet Details面板也在发生着变化。
• q  第二列（包数）：当打开一个捕获文件时，在状态栏中的第二列将显示该文件的总包数。在图1.47中，显示了捕获的数据包数量、显示包数和加载时间。若是当前捕获文件中有包被标记，则状态栏中将会出现标记包数。
• q  第三列（配置文件）：表示当前使用的文件。在图1.47中，表示正在使用Default 文件。文件能够建立，这样就能够本身定制Wireshark的环境。

 

本文选自：Wireshark数据抓包基础教程大学霸内部资料，转载请注明出处，尊重技术尊重IT人！