一、Wireshark下载
官网下载地址:https://www.wireshark.org/download.html,在谷歌浏览器地址栏输入官网网址
点击需要的版本就会开始下载安装包
二、Wireshark安装
双击下载的安装包Wireshark-win64-3.6.2.exe
默认点击:下一步
点击Noted
默认设置,点击:下一步
默认设置,点击下一步
修改安装路径,自定义,点击:下一步
默认设置,点击:下一步
默认设置,点击:Install
开始安装
安装过程中会提示安装Npcap,点击:I Agree
默认设置,:Install
Npcap安装完成,点击下一步
点击:Finish
点击:下一步
点击:Finish
安装完成后会提示电脑重启,点击重启
三、Wireshark使用
1、在电脑开始栏单击启动Wireshark
2、选择网络接口,右击点击Start capture或者点击左上角开始捕获分组按钮
可在界面左上角点击停止捕获和重新开始捕获
3、报文过滤
在抓包过滤器编辑框或应用显示过滤器编辑框中可输入命令,过滤和筛选需要的信息
不设置捕获条件,将捕获网卡所有数据包
数据包信息列表:
4、数据包常用过滤设置:
wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
(1)捕获过滤器-用于在抓取数据包前设置
在开始捕获数据包前进行设置,点击菜单栏捕获->选项
捕获过滤器命令语法
1)协议类型过滤
比较简单,直接在抓包过滤框中直接输入协议名即可。
TCP,只显示TCP协议的数据包列表
HTTP,只查看HTTP协议的数据包列表
ICMP,只显示ICMP协议的数据包列表
2)IP过滤
host 192.168.50.12
src host 192.168.50.12
dst host 192.168.50.12
3)端口过滤
port 80
src port 80
dst port 80
4)组合条件过滤 &&(与)、||(或)、!(非)
src host 192.168.50.12 && dst port 80 抓取主机地址为192.168.50.12、目的端口为80的数据包
host 192.168.50.12 || host 192.168.50.102 抓取主机为192.168.50.12或者192.168.50.102的数据包
!broadcast 不抓取广播数据包
(2)应用显示过滤器-用于在抓取数据包后设置过滤条件进行过滤数据包
在抓取数据包时设置条件相对宽泛,抓取的数据包内容较多时使用,在组网不复杂或者流量不大情况下,使用显示器过滤器进行抓包后处理就可以
应用显示过滤器命令语法
1)协议过滤
直接在显示过滤器输入框中输入协议名即可,注意:协议名称需要输入小写
tcp,只显示TCP协议的数据包列表
ssdp,只显示SSDP协议的数据包列表
mdns,只显示MDNS协议的数据包列表
2)ip过滤
ip.src 192.168.50.12 只显示源地址为192.168.50.12的数据包列表
ip.dst192.168.50.12, 只显示目标地址为192.168.50.12的数据包列表
ip.addr == 192.168.50.12 只显示源IP地址或目标IP地址为192.168.50.12的数据包列表
3)端口过滤
tcp.port ==80, 只显示源主机或者目的主机端口为80的数据包列表
tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表
tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表
4)组合条件过滤
过滤多个条件时,使用and/or
如获取IP地址为192.168.50.136的MDNS 和 SSDP数据包表达式为
ip.addr == 192.168.50.136 and mdns or ssdp
参考文章:
[1]<< Wireshark的下载安装及简单使用教程>>,
文章链接:https://blog.csdn.net/weixin_44493195/article/details/106339521
[2] <<网络分析工具——WireShark的使用(超详细)>>,
文章链接:https://blog.csdn.net/zzwwhhpp/article/details/113077747
[3 ] <<WireShark抓包分析>>,文章链接:https://blog.csdn.net/hebbely/article/details/54424823