1.下载并安装Wireshark软件
WireShark
是一种可以运行在
Windows
,
UNIX
,
Linux
等操作系统上的分组分析器。运行
Wireshark
,需要有一台支持
Wireshark
和
libpcap
或
WinPCap
分组捕获库的计算机。安装
Wireshark
时,如果操作系统中未安装
libpcap
软件,它将会自动安装。支持的操作系统和下载站点的列表,请访问
http://www.wireshark.org/download.html
。
通过
http://www.wireshark.org/download.html
下载并安装计算机的
Wireshark
安装包。当您在安装或运行
Wireshark
时遇到问题时,可以查看
Wireshark FAQ
,它包含一些有用的提示和信息。
2.运行wireshark
双击桌面上的图标
,可启动
Wireshark
。启动后的用户界面如下图所示,中间列表部分列出了所有网络接口。
3. 抓取分组操作
- A.单击中间网络接口列表中,某一网络接口如
eth0,选中网络接口,通过菜单“捕获”-“开始”或工具栏中的
按钮,开始捕获选定接口中的网络分组; - B.也可以双击中间网络接口列表中,某一网络接口如
eth0,可以开始抓取分组; - C.通过菜单“捕获”-“停止”或工具栏中的按钮
停止抓取分组。 - D.通过菜单“捕获”-“重新开始”或工具栏中的按钮
重新开始抓取。
4.Wireshark窗口功能
A.命令菜单和工具栏 命令菜单位于窗口的最顶部,是标准的下拉式菜单。最常用菜单命令有两个:
文件
、
捕获
。
文件
菜单允许你保存捕获的分组数据,或打开一个已被保存的捕获分组数据文件,或退出
WireShark
程序。
捕获
菜单允许你开始捕获分组。 工具栏位于命令菜单的下方,提供常用功能的快捷方式。如 :开始捕获、 :停止捕获、 :重新抓取分组。
B.显示过滤规则 在该字段中,可以填写协议的名称或其他信息,根据此内容可以对分组列表窗口中的分组进行过滤。
C.捕获分组列表 按行显示已被捕获的分组内容,其中包括:
WireShark
赋予的分组序号、捕获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。单击某一列的列名,可以使分组按指定列进行排序。 在该列表中,所显示的协议类型是发送或接收分组的最高层协议的类型。
D.分组头部明细 显示捕获分组列表窗口中被选中分组的头部详细信息。包括:与以太网帧有关的信息,与包含在该分组中的
IP
数据报有关的信息。 单击以太网帧或
IP
数据报所在行左边的向右或向下的箭头可以展开或最小化相关信息。如果利用
TCP
或
UDP
承载分组,
WireShark
也会显示
TCP
或
UDP
协议头部信息。分组最高层协议的头部字段也会显示在此窗口中。
E.分组内容窗口 以
ASCII
码和十六进制两种格式显示被捕获帧的完整内容。
5.筛选分组操作
通常,分组列表窗口中会显示许多类型的分组。即使仅仅是下载了一个网页,但是还有许多其他协议在您的计算机上运行,只是用户所看不见。可以在中间过滤窗口中输入过滤的分组协议如
http
, 选择应用按钮,就可以只让
HTTP
分组消息显示在分组列表窗口。
6.分组信息分析
在分组窗口中,找到最前面的一条分组,列表形式查看分组的基本信息:
Time:时间
Source:发送主机IP地址
Destination: 接收主机IP地址
Protocol:分组协议
Length:分组长度
Info:分组内容
7.分组头部信息查看
分组头部信息窗口中,可以看到选中分组的头部详细信息。从上往下依次是:
Frame:分组头部
Ethernet: 以太网帧头部
Internet Protocol Version 4: IP数据包
Transmission Control Protocol: 传输层包头部
Hypertext Transfer Protocol: 超文本传输协议包头部
单击前面的箭头可以展开或收缩该头部信息以便进一步分析。
8.分组内容查看
在分组内容窗口中,可以显示出该分组内容的
16
进制和
ASCII
两种格式的内容。鼠标指向内容窗口,可以将分组中某一字段的内容突出显示。在分组头部信息窗口中,展开选择某一头部信息时,分组内容中相应内容同步突出显示。
版权归原作者 一指流沙q 所有, 如有侵权,请联系我们删除。