Wireshark使用教程（界面说明、捕获过滤器表达式、显示过滤器表达式）

1、说明

1.1 背景说明

对于大多数刚开始接触wireshark的使用者而言，常常是开始的时候时候看到wireshark能把全部数据包都拦截下来以为强无敌，可是面对一大堆的数据包要问有什么用或者说想要找到我想要的那些数据包怎么找（好比telnet登陆过程的那些数据包）则彻底是一脸茫然。

一是界面一堆窗口，什么做用什么区别看不懂；二是捕获、显示过滤器表达示看不出有什么规律，每次过滤都要百度找半天。其实wireshark界面仍是比较清晰的，过滤器表过示也不困难，咱们今天就来破解这wireshark使用的两大难题。

官网地址：https://www.wireshark.org/

官网下载地址：https://www.wireshark.org/#download

安装就很少说了和通常windows同样下一步下一下装就能够了。另外ethereal为何在2006年改名wireshark参见：https://www.linux.com/news/ethereal-changes-name-wireshark

 

1.2 拦截本地回环数据

另外注意本机访问本机的回环数据是不通过网卡的，好比咱们在本机访问搭建在本机上的web服务，但咱们常常有服务搭建在本机的操做也常常有拦截本地回环数据包加以分析的需求，因此咱们环要拦载回环数据包。操做以下。

首先，以管理员身份运行cmd（普通用户没有路由表操做权限，会提示“请求的操做须要提高”）

而后，使用ipconfig查看本机ip和网关：

ipconfig

再而后，使用如下命令添加路由，指定回环数据也要先转发到网关（使用上一步获取本的本机ip和网关替换其中的<your_IP>和<gateway_IP>）：

route add <your_IP> mask 255.255.255.255 <gateway_IP> metric 1

最后，查看路由表中路由是否已添加成功：

route print

回环数据经网关再回来会增长网卡的压力，可以使用如下命令删除路由（使用前边获取本的本机ip替换其中的<your_IP>）：

route delete <your_IP>

 

2、Wireshark界面说明

过滤器表达式书写是wireshark使用的核心，但在此以前，不少初学者还会碰到一个难题，就是感受wireshark界面上不少东西不懂怎么看。其实仍是挺明了的咱们下面简单说一下，以下图。

1号窗口展现的是wireshark捕获到的全部数据包的列表。注意最后一列Info列是wireshark组织的说明列并不必定是该数据包中的原始内容。

2号窗口是1号窗口中选定的数据包的分协议层展现。底色为红色的是由于wireshark开启校验和验证而该层协议校验和又不正确所致。

3号窗口是1号窗口中选定的数据包的源数据，其中左侧是十六进制表示右侧是ASCII码表示。另外在2号窗口中选中某层或某字段，3号窗口对应位置也会被高亮。

被认为最难的其实仍是2号窗口展开后的内容不懂怎么看，其实也很明了，以IP层为例：

每一行就对应该层协议的一个字段；中括号行是前一字段的说明。

冒号前的英文是协议字段的名称；冒号后是该数据包中该协议字段的值。

 

3、捕获过滤器表达式

捕获过滤器表达式做用在wireshark开始捕获数据包以前，只捕获符合条件的数据包，不记录不符合条件的数据包。

捕获过滤器表达式没有像显示过滤器表达式那样明显的规律，但写法很少因此也不难；并且除非所有捕获要占用的磁盘空间实现太大，且你很是明确过滤掉的数据包是你不须要的，否则通常都不用捕获过滤器表达式而用显示过滤器表达式。

在wireshark2.x版本，启动后欢迎界面即有捕获过滤器，在其中输入过滤表达式开始捕获数据包时即会生效：

点击图中“书签”标志，再点管理“捕获筛选器”，便可看到经常使用捕获过滤表达示的书写形式

 

4、显示过滤器表达示及其书写规律

显示过滤器表达式做用在在wireshark捕获数据包以后，从已捕获的全部数据包中显示出符合条件的数据包，隐藏不符合条件的数据包。

显示过滤表达示在工具栏下方的“显示过滤器”输入框输入便可生效

4.1 基本过滤表达式

一条基本的表达式由过滤项、过滤关系、过滤值三项组成。

好比ip.addr == 192.168.1.1，这条表达式中ip.addr是过滤项、==是过滤关系，192.168.1.1是过滤值（整条表达示的意思是找出全部ip协议中源或目标ip、等于、192.168.1.1的数据包）

4.1.1 过滤项

初学者感受的“过滤表达式复杂”，最主要就是在这个过滤项上：一是不知道有哪些过滤项，二是不知道过滤项该怎么写。

这两个问题有一个共同的答案-----wireshark的过滤项是“协议“+”.“+”协议字段”的模式。以端口为例，端口出现于tcp协议中因此有端口这个过滤项且其写法就是tcp.port。

推广到其余协议，如eth、ip、udp、http、telnet、ftp、icmp、snmp等等其余协议都是这么个书写思路。固然wireshark出于缩减长度的缘由有些字段没有使用协议规定的名称而是使用简写（好比Destination Port在wireshark中写为dstport）又出于简使用增长了一些协议中没有的字段（好比tcp协议只有源端口和目标端口字段，为了简便使用wireshark增长了tcp.port字段来同时表明这两个），但思路总的算是不变的。并且在实际使用时咱们输入“协议”+“.”wireshark就会有支持的字段提示（特别是过滤表达式字段的首字母和wireshark在上边2窗口显示的字段名称首字母一般是同样的），看下名称就大概知道要用哪一个字段了。wireshark支持的所有协议及协议字段可查看官方说明。

4.1.2 过滤关系

过滤关系就是大于、小于、等于等几种等式关系，咱们能够直接看官方给出的表。注意其中有“English”和“C-like”两个字段，这个意思是说“English”和“C-like”这两种写法在wireshark中是等价的、都是可用的。

4.1.3 过滤值

过滤值就是设定的过滤项应该知足过滤关系的标准，好比500、5000、50000等等。过滤值的写法通常已经被过滤项和过滤关系设定好了，只是填下本身的指望值就能够了。

 

4.2 复合过滤表达示

所谓复合过滤表达示，就是指由多条基本过滤表达式组合而成的表达示。基本过滤表达式的写法仍是不变的，复合过滤表达示多出来的东西就只是基本过滤表达示的“链接词”

咱们依然直接参照官方给出的表，一样“English”和“C-like”这两个字段仍是说明这两种写法在wireshark中是等价的、都是可用的。

 

4.3 常见用显示过滤需求及其对应表达式

数据链路层：

筛选mac地址为04:f9:38:ad:13:26的数据包----eth.src == 04:f9:38:ad:13:26

筛选源mac地址为04:f9:38:ad:13:26的数据包----eth.src == 04:f9:38:ad:13:26

网络层：

筛选ip地址为192.168.1.1的数据包----ip.addr == 192.168.1.1

筛选192.168.1.0网段的数据---- ip contains "192.168.1"

筛选192.168.1.1和192.168.1.2之间的数据包----ip.addr == 192.168.1.1 && ip.addr == 192.168.1.2

筛选从192.168.1.1到192.168.1.2的数据包----ip.src == 192.168.1.1 && ip.dst == 192.168.1.2

传输层：

筛选tcp协议的数据包----tcp

筛选除tcp协议之外的数据包----!tcp

筛选端口为80的数据包----tcp.port == 80

筛选12345端口和80端口之间的数据包----tcp.port == 12345 && tcp.port == 80

筛选从12345端口到80端口的数据包----tcp.srcport == 12345 && tcp.dstport == 80

应用层：

特别说明----http中http.request表示请求头中的第一行（如GET index.jsp HTTP/1.1），http.response表示响应头中的第一行（如HTTP/1.1 200 OK），其余头部都用http.header_name形式。

筛选url中包含.php的http数据包----http.request.uri contains ".php"

筛选内容包含username的http数据包----http contains "username"

 

参考：

官方文档：https://www.wireshark.org/docs/wsug_html_chunked/ChapterWork.html

https://blog.csdn.net/readiay/article/details/53063932