Wireshark V1.12是款網(wǎng)絡(luò)抓包軟件，軟件的界面非常簡(jiǎn)潔，可以幫助網(wǎng)絡(luò)工程師來(lái)檢測(cè)各種不同的問(wèn)題，軟件可以幫助用戶快速的抓取數(shù)據(jù)包，讓用戶對(duì)這些數(shù)據(jù)內(nèi)容進(jìn)行分析。?V1.12是經(jīng)典的版本，網(wǎng)絡(luò)管理員可以使用它來(lái)檢測(cè)網(wǎng)絡(luò)問(wèn)題，網(wǎng)絡(luò)安全工程師使用它中來(lái)檢查資訊安全相關(guān)問(wèn)題，開(kāi)發(fā)者可以用來(lái)為新的通訊協(xié)定除錯(cuò)，總之這個(gè)可以幫助從事網(wǎng)絡(luò)相關(guān)行業(yè)的人員進(jìn)行各種網(wǎng)絡(luò)問(wèn)題的排查。只適用于32位系統(tǒng)版本，也就是說(shuō)適用于一些老的電腦有需求的用戶們千萬(wàn)不要錯(cuò)過(guò)哦！

軟件介紹

軟件特色

軟件含有強(qiáng)顯示過(guò)濾器語(yǔ)言(rich display filter language)和查看TCP會(huì)話重構(gòu)流的能力;

更支持上百種協(xié)議和媒體類型;

擁有一個(gè)類似tcpdump(一個(gè)Linux下的網(wǎng)絡(luò)協(xié)議分析工具)的名為tethereal的的命令行版本;

在過(guò)去，網(wǎng)絡(luò)封包分析軟件是非常昂貴，或是專門屬于營(yíng)利用的軟件;

Ethereal的出現(xiàn)改變了這一切;

在GNU GPL通用許可證的保障范圍底下，使用者可以以免費(fèi)的代價(jià)取得軟件與其程式碼，并擁有針對(duì)其原始碼修改及客制化的權(quán)利。Ethereal是目前全世界最廣泛的網(wǎng)絡(luò)封包分析軟件之一。

操作說(shuō)明

1、菜單用于開(kāi)始操作。

2、主工具欄提供快速訪問(wèn)菜單中經(jīng)常用到的項(xiàng)目的功能。

3、Fiter toolbar/過(guò)濾工具欄提供處理當(dāng)前顯示過(guò)濾得方法。

4、Packet List面板顯示打開(kāi)文件的每個(gè)包的摘要。點(diǎn)擊面板中的單獨(dú)條目，包的其他情況將會(huì)顯示在另外兩個(gè)面板中。

5、Packet detail面板顯示您在Packet list面板中選擇的包的更多詳情。

6、Packet bytes面板顯示您在Packet list面板選擇的包的數(shù)據(jù)，以及在Packet details面板高亮顯示的字段。

7、狀態(tài)欄顯示當(dāng)前程序狀態(tài)以及捕捉數(shù)據(jù)的更多詳情。

怎么抓包

軟件主要的功能就是抓包，很多的用戶不知道怎么利用軟件進(jìn)行抓包，下面小編為大家?guī)?lái)軟件抓包的方法介紹，讓大家可以快速的抓取到自己需要的數(shù)據(jù)包。

1、打開(kāi)軟件，我們可以看到軟件的主界面

2、選擇菜單欄上Capture -> Option，勾選WLAN網(wǎng)卡（這里需要根據(jù)各自電腦網(wǎng)卡使用情況選擇，簡(jiǎn)單的辦法可以看使用的IP對(duì)應(yīng)的網(wǎng)卡）。點(diǎn)擊Start。啟動(dòng)抓包。

3、wireshark啟動(dòng)后，wireshark處于抓包狀態(tài)中。

4、執(zhí)行需要抓包的操作，如ping www.baidu.com。

5、操作完成后相關(guān)數(shù)據(jù)包就抓取到了。為避免其他無(wú)用的數(shù)據(jù)包影響分析，可以通過(guò)在過(guò)濾欄設(shè)置過(guò)濾條件進(jìn)行數(shù)據(jù)包列表過(guò)濾，獲取結(jié)果如下。說(shuō)明：ip.addr == 119.75.217.26 and icmp 表示只顯示ICPM協(xié)議且源主機(jī)IP或者目的主機(jī)IP為119.75.217.26的數(shù)據(jù)包。

5、wireshark抓包完成，就這么簡(jiǎn)單。關(guān)于wireshark過(guò)濾條件和如何查看數(shù)據(jù)包中的詳細(xì)內(nèi)容在后面介紹。

抓包數(shù)據(jù)怎么看

抓包之后我們接下來(lái)需要對(duì)抓包數(shù)據(jù)進(jìn)行查看和分析，很多的用戶不知道怎么看和分析自己抓到的數(shù)據(jù)，下面小編為大家?guī)?lái)抓包數(shù)據(jù)分析方法，感興趣的用戶快來(lái)看看吧。

在Wireshark中的數(shù)據(jù)包都可以稱為是網(wǎng)絡(luò)數(shù)據(jù)。每個(gè)網(wǎng)絡(luò)都有許多不同的應(yīng)用程序和不同的網(wǎng)絡(luò)涉及。但是一些常見(jiàn)的包中，通常都會(huì)包括一些登錄程序和網(wǎng)絡(luò)瀏覽會(huì)話。本節(jié)以訪問(wèn)Web瀏覽器為例將介紹分析網(wǎng)絡(luò)數(shù)據(jù)的方法。

通常在訪問(wèn)Web服務(wù)器過(guò)程中，會(huì)涉及到DNS、TCP、HTTP三種協(xié)議。由于此過(guò)程中來(lái)回發(fā)送的數(shù)據(jù)包較為復(fù)雜，所以下面將介紹分析Web瀏覽數(shù)據(jù)。

【實(shí)例1-3】分析訪問(wèn)Web瀏覽數(shù)據(jù)。具體操作步驟如下所示：

（1）捕獲訪問(wèn)網(wǎng)站的數(shù)據(jù)包，并保存該文件名為http-wireshar.pcapng。

（2）接下來(lái)通過(guò)該捕獲文件中的數(shù)據(jù)，分析訪問(wèn)Web的整個(gè)過(guò)程。在該捕獲過(guò)程中，將包含DNS請(qǐng)求、響應(yīng)、TCP三次握手等數(shù)據(jù)。在該界面顯示了在訪問(wèn)網(wǎng)站之間DNS解析過(guò)程。

（3）在該界面31幀，是DNS將網(wǎng)站解析為一個(gè)IP地址的數(shù)據(jù)包（被稱為一個(gè)“A”記錄）。32幀表示返回一個(gè)與主機(jī)名相關(guān)的IP地址的DNS響應(yīng)包。如果客戶端支持IPv4和IPv6，在該界面將會(huì)看到查找一個(gè)IPv6地址（被稱為“AAAA”記錄）。此時(shí)，DNS服務(wù)器將響應(yīng)一個(gè)IPv6地址或混雜的信息。

說(shuō)明：31幀是客戶端請(qǐng)求百度，通過(guò)DNS服務(wù)器解析IP地址的過(guò)程。標(biāo)識(shí)為“A”記錄。

32幀是DNS服務(wù)器回應(yīng)客戶端請(qǐng)求的過(guò)程。標(biāo)識(shí)為response.

（4）如圖1.51所示，在該界面看客戶端和服務(wù)器之間TCP三次握手（33、34、35幀）和客戶端請(qǐng)求的GET主頁(yè)面（36幀）。然后服務(wù)器收到請(qǐng)求（37幀）并發(fā)送響應(yīng)包（38幀）。

說(shuō)明：33幀是客戶端向服務(wù)器發(fā)送TCP請(qǐng)求建立連接。標(biāo)識(shí)為SYN。

34幀是服務(wù)器得到請(qǐng)求后向客戶端回應(yīng)確認(rèn)包的過(guò)程。標(biāo)識(shí)為SYN，ACK。

35幀是客戶端回應(yīng)服務(wù)器發(fā)送確認(rèn)包的過(guò)程，將于服務(wù)器建立連接。標(biāo)識(shí)為ACK。

36幀是客戶端向服務(wù)器發(fā)送HTTP請(qǐng)求內(nèi)容的過(guò)程。標(biāo)識(shí)為GET。

37幀是服務(wù)器相應(yīng)客戶端請(qǐng)求的過(guò)程，收到請(qǐng)求。標(biāo)識(shí)為ACK。

38幀是服務(wù)器向客戶端回應(yīng)內(nèi)容的過(guò)程。

（5）當(dāng)客戶端從相同的服務(wù)器上再次請(qǐng)求訪問(wèn)另一個(gè)鏈接時(shí)，將會(huì)再次看到一個(gè)GET數(shù)據(jù)包（1909幀），如圖1.52所示。

此外，如果鏈接另一個(gè)Web站點(diǎn)時(shí)，客戶端將再次對(duì)下一個(gè)站點(diǎn)進(jìn)行DNS查詢（156、157幀），TCP三次握手（158、159、160幀）。如圖1.53所示。

怎么看丟包

在抓包工程中我們還會(huì)遇到丟包的問(wèn)題，那么我們查看自己是否丟包呢？這時(shí)候我們還是需要對(duì)數(shù)據(jù)進(jìn)行分析，下面小編為大家?guī)?lái)對(duì)應(yīng)的分析和查看方法介紹。

一、測(cè)試環(huán)境

前端設(shè)備入網(wǎng)平臺(tái)地址：172.21.6.14

媒體轉(zhuǎn)發(fā)平臺(tái)地址：172.21.6.15

瀏覽客戶端地址：172.21.10.54

二、使用wireshark對(duì)抓取數(shù)據(jù)包分析

（1）使用wireshark工具打開(kāi)數(shù)據(jù)包，在Filter后面的輸入框中輸入目的地址為172.21.6.14，點(diǎn)擊Apply進(jìn)行rtp包過(guò)濾，選中Telephony——RTP——Stream Analysis進(jìn)行數(shù)據(jù)包篩選

通過(guò)抓包分析碼流從前端至前端設(shè)備入網(wǎng)平臺(tái)時(shí)是15394包，而實(shí)際收到的只有15386包，丟包率達(dá)0.05%，丟了8包。

（2）在Filter后面的輸入框中輸入源地址為172.21.6.14，目的地址為172.21.6.15，點(diǎn)擊Apply進(jìn)行rtp包過(guò)濾。

通過(guò)抓包分析碼流從前端設(shè)備入網(wǎng)平臺(tái)至媒體轉(zhuǎn)發(fā)平臺(tái)時(shí)為15386包，經(jīng)過(guò)數(shù)據(jù)包包分析碼流從前端設(shè)備入網(wǎng)平臺(tái)至媒體轉(zhuǎn)發(fā)平臺(tái)體之間沒(méi)有丟包。

（3）在Filter后面的輸入框中輸入源地址為172.21.6.15，目的地址為172.21.10.54，點(diǎn)擊Apply進(jìn)行rtp包過(guò)濾。

?

通過(guò)分析瀏覽客戶端在接收時(shí)丟包率達(dá)1.39%，較嚴(yán)重丟222包；綜上所述丟包存在于瀏覽客戶端側(cè)

怎么設(shè)置過(guò)濾

要知道每次抓取的時(shí)候我們都會(huì)抓取到大量的冗余數(shù)據(jù)，而要從這些數(shù)據(jù)中提取出自己抓取的數(shù)據(jù)包部分是非常困難的一件事，其實(shí)軟件中自帶了兩種類型的過(guò)濾器，可以幫助我們?cè)诖罅康臄?shù)據(jù)中迅速找到我們需要的信息。

（1）抓包過(guò)濾器

捕獲過(guò)濾器的菜單欄路徑為Capture --> Capture Filters。用于在抓取數(shù)據(jù)包前設(shè)置。

如何使用？可以在抓取數(shù)據(jù)包前設(shè)置如下。

ip host 60.207.246.216 and icmp表示只捕獲主機(jī)IP為60.207.246.216的ICMP數(shù)據(jù)包。獲取結(jié)果如下：

（2）顯示過(guò)濾器

顯示過(guò)濾器是用于在抓取數(shù)據(jù)包后設(shè)置過(guò)濾條件進(jìn)行過(guò)濾數(shù)據(jù)包。通常是在抓取數(shù)據(jù)包時(shí)設(shè)置條件相對(duì)寬泛，抓取的數(shù)據(jù)包內(nèi)容較多時(shí)使用顯示過(guò)濾器設(shè)置條件顧慮以方便分析。同樣上述場(chǎng)景，在捕獲時(shí)未設(shè)置捕獲規(guī)則直接通過(guò)網(wǎng)卡進(jìn)行抓取所有數(shù)據(jù)包，如下

執(zhí)行ping 網(wǎng)站獲取的數(shù)據(jù)包列表如下

觀察上述獲取的數(shù)據(jù)包列表，含有大量的無(wú)效數(shù)據(jù)。這時(shí)可以通過(guò)設(shè)置顯示器過(guò)濾條件進(jìn)行提取分析信息。ip.addr == 211.162.2.183 and icmp。并進(jìn)行過(guò)濾。

上述介紹了抓包過(guò)濾器和顯示過(guò)濾器的基本使用方法。在組網(wǎng)不復(fù)雜或者流量不大情況下，使用顯示器過(guò)濾器進(jìn)行抓包后處理就可以滿足我們使用。下面介紹一下兩者間的語(yǔ)法以及它們的區(qū)別。

wireshark過(guò)濾器表達(dá)式的規(guī)則

1、抓包過(guò)濾器語(yǔ)法和實(shí)例

抓包過(guò)濾器類型Type（host、net、port）、方向Dir（src、dst）、協(xié)議Proto（ether、ip、tcp、udp、http、icmp、ftp等）、邏輯運(yùn)算符（&& 與、|| 或、！非）

（1）協(xié)議過(guò)濾

比較簡(jiǎn)單，直接在抓包過(guò)濾框中直接輸入?yún)f(xié)議名即可。

TCP，只顯示TCP協(xié)議的數(shù)據(jù)包列表

HTTP，只查看HTTP協(xié)議的數(shù)據(jù)包列表

ICMP，只顯示ICMP協(xié)議的數(shù)據(jù)包列表

（2）IP過(guò)濾

host 192.168.1.104

src host?192.168.1.104

dst host?192.168.1.104

（3）端口過(guò)濾

port 80

src port 80

dst port 80

（4）邏輯運(yùn)算符&& 與、|| 或、！非

src host 192.168.1.104 && dst port 80 抓取主機(jī)地址為192.168.1.80、目的端口為80的數(shù)據(jù)包

host 192.168.1.104 || host 192.168.1.102 抓取主機(jī)為192.168.1.104或者192.168.1.102的數(shù)據(jù)包

！broadcast 不抓取廣播數(shù)據(jù)包

2、顯示過(guò)濾器語(yǔ)法和實(shí)例

（1）比較操作符

比較操作符有== 等于、！= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

（2）協(xié)議過(guò)濾

比較簡(jiǎn)單，直接在Filter框中直接輸入?yún)f(xié)議名即可。注意：協(xié)議名稱需要輸入小寫(xiě)。

tcp，只顯示TCP協(xié)議的數(shù)據(jù)包列表

http，只查看HTTP協(xié)議的數(shù)據(jù)包列表

icmp，只顯示ICMP協(xié)議的數(shù)據(jù)包列表

（3） ip過(guò)濾

ip.src ==192.168.1.104 顯示源地址為192.168.1.104的數(shù)據(jù)包列表

ip.dst==192.168.1.104, 顯示目標(biāo)地址為192.168.1.104的數(shù)據(jù)包列表

ip.addr == 192.168.1.104 顯示源IP地址或目標(biāo)IP地址為192.168.1.104的數(shù)據(jù)包列表

（4）端口過(guò)濾

tcp.port ==80,? 顯示源主機(jī)或者目的主機(jī)端口為80的數(shù)據(jù)包列表。

tcp.srcport == 80,? 只顯示TCP協(xié)議的源主機(jī)端口為80的數(shù)據(jù)包列表。

tcp.dstport == 80，只顯示TCP協(xié)議的目的主機(jī)端口為80的數(shù)據(jù)包列表。

（5） Http模式過(guò)濾

http.request.method=="GET",?? 只顯示HTTP GET方法的。

（6）邏輯運(yùn)算符為 and/or/not

過(guò)濾多個(gè)條件組合時(shí)，使用and/or。比如獲取IP地址為192.168.1.104的ICMP數(shù)據(jù)包表達(dá)式為ip.addr == 192.168.1.104 and icmp

（7）按照數(shù)據(jù)包內(nèi)容過(guò)濾。假設(shè)我要以IMCP層中的內(nèi)容進(jìn)行過(guò)濾，可以單擊選中界面中的碼流，在下方進(jìn)行選中數(shù)據(jù)。如下

右鍵單擊選中后出現(xiàn)如下界面

選中Select后在過(guò)濾器中顯示如下

后面條件表達(dá)式就需要自己填寫(xiě)。如下我想過(guò)濾出data數(shù)據(jù)包中包含"abcd"內(nèi)容的數(shù)據(jù)流。包含的關(guān)鍵詞是contains 后面跟上內(nèi)容。

怎么看三次握手

在進(jìn)行數(shù)據(jù)分析的過(guò)程中一共會(huì)有三個(gè)步驟，我們稱之為TCP三次握手，很多的用戶不知道怎么看數(shù)據(jù)是否完成三次握手，下面小編為大家?guī)?lái)對(duì)應(yīng)的過(guò)程介紹，讓大家可以更直觀的看到。

（1）TCP三次握手連接建立過(guò)程

Step1：客戶端發(fā)送一個(gè)SYN=1，ACK=0標(biāo)志的數(shù)據(jù)包給服務(wù)端，請(qǐng)求進(jìn)行連接，這是第一次握手；

Step2：服務(wù)端收到請(qǐng)求并且允許連接的話，就會(huì)發(fā)送一個(gè)SYN=1，ACK=1標(biāo)志的數(shù)據(jù)包給發(fā)送端，告訴它，可以通訊了，并且讓客戶端發(fā)送一個(gè)確認(rèn)數(shù)據(jù)包，這是第二次握手；

Step3：服務(wù)端發(fā)送一個(gè)SYN=0，ACK=1的數(shù)據(jù)包給客戶端端，告訴它連接已被確認(rèn)，這就是第三次握手。TCP連接建立，開(kāi)始通訊。

（2）wireshark抓包獲取訪問(wèn)指定服務(wù)端數(shù)據(jù)包

Step1：?jiǎn)?dòng)wireshark抓包，打開(kāi)瀏覽器輸入網(wǎng)址。

Step2：使用ping 網(wǎng)址獲取IP。

Step3：輸入過(guò)濾條件獲取待分析數(shù)據(jù)包列表 ip.addr == 211.162.2.183

圖中可以看到wireshark截獲到了三次握手的三個(gè)數(shù)據(jù)包。第四個(gè)包才是HTTP的， 這說(shuō)明HTTP的確是使用TCP建立連接的。

第一次握手?jǐn)?shù)據(jù)包

客戶端發(fā)送一個(gè)TCP，標(biāo)志位為SYN，序列號(hào)為0， 代表客戶端請(qǐng)求建立連接。 如下圖。

數(shù)據(jù)包的關(guān)鍵屬性如下：

SYN ：標(biāo)志位，表示請(qǐng)求建立連接

Seq = 0 ：初始建立連接值為0，數(shù)據(jù)包的相對(duì)序列號(hào)從0開(kāi)始，表示當(dāng)前還沒(méi)有發(fā)送數(shù)據(jù)

Ack =0：初始建立連接值為0，已經(jīng)收到包的數(shù)量，表示當(dāng)前沒(méi)有接收到數(shù)據(jù)

第二次握手的數(shù)據(jù)包

服務(wù)器發(fā)回確認(rèn)包, 標(biāo)志位為 SYN,ACK. 將確認(rèn)序號(hào)(Acknowledgement Number)設(shè)置為客戶的I S N加1以.即0+1=1, 如下圖

數(shù)據(jù)包的關(guān)鍵屬性如下：

[SYN + ACK]: 標(biāo)志位，同意建立連接，并回送SYN+ACK

Seq = 0 ：初始建立值為0，表示當(dāng)前還沒(méi)有發(fā)送數(shù)據(jù)

Ack = 1：表示當(dāng)前端成功接收的數(shù)據(jù)位數(shù)，雖然客戶端沒(méi)有發(fā)送任何有效數(shù)據(jù)，確認(rèn)號(hào)還是被加1，因?yàn)榘琒YN或FIN標(biāo)志位。（并不會(huì)對(duì)有效數(shù)據(jù)的計(jì)數(shù)產(chǎn)生影響，因?yàn)楹蠸YN或FIN標(biāo)志位的包并不攜帶有效數(shù)據(jù)）

第三次握手的數(shù)據(jù)包

客戶端再次發(fā)送確認(rèn)包(ACK) SYN標(biāo)志位為0,ACK標(biāo)志位為1.并且把服務(wù)器發(fā)來(lái)ACK的序號(hào)字段+1,放在確定字段中發(fā)送給對(duì)方.并且在數(shù)據(jù)段放寫(xiě)ISN的+1, 如下圖:

數(shù)據(jù)包的關(guān)鍵屬性如下：

ACK ：標(biāo)志位，表示已經(jīng)收到記錄

Seq = 1 ：表示當(dāng)前已經(jīng)發(fā)送1個(gè)數(shù)據(jù)

Ack = 1 : 表示當(dāng)前端成功接收的數(shù)據(jù)位數(shù)，雖然服務(wù)端沒(méi)有發(fā)送任何有效數(shù)據(jù)，確認(rèn)號(hào)還是被加1，因?yàn)榘琒YN或FIN標(biāo)志位（并不會(huì)對(duì)有效數(shù)據(jù)的計(jì)數(shù)產(chǎn)生影響，因?yàn)楹蠸YN或FIN標(biāo)志位的包并不攜帶有效數(shù)據(jù))。

就這樣通過(guò)了TCP三次握手，建立了連接。開(kāi)始進(jìn)行數(shù)據(jù)交互