文档介绍:WireShark使用说明编写人员:培训目的通过本课程的学习,您将能够:了解WireShark的界面组成熟悉WireShark的基本操作适用对象:测试、开发、网络工程人员概述Wireshark是网络包分析工具。网络包分析工具的主要作用是在接口实时捕捉网络包,并详细显示包的详细协议信息。Wireshark可以捕捉多种网络接口类型的包,哪怕是无线局域网接口。Wireshark可以打开多种网络分析软件捕捉的包,可以支持许多协议的解码。我们可以用它来检测网络安全隐患、解决网络问题,也可以用它来学习网络协议、测试协议执行情况等。Wireshark不会处理网络事务,它仅仅是“测量”(监视)网络。Wireshark不会发送网络包或做其它交互性的事情。安装注意事项安装文件获取:\\\softtool\toolsLib\抓包工具在安装组件时候选择所有组件,界面风格建议选择Wireshark(GTK2userinterface)安装注意事项勾选下图选项,以支持多种其他网络包分析工具支持的文件格式。安装注意事项Wireshark安装文件自带WinPcap最新版本,选择安装。Wireshark的使用1、Wireshark的主窗口Wireshark的使用2、网络数据流的监测接入点在被监测计算机上直接捕获;利用集线器将被检测端口的数据分为多路进行捕获;利用交换机的端口数据映射功能进行捕获;Wireshark的使用3、实时捕获数据包使用按钮”CaptureOptions”开始捕获取对话框,选择正确的NIC进行捕获;注意:windows平台下不支持环回接口捕获,即接口列表中的第一个接口Wireshark的使用3、实时捕获数据包设置捕获缓存大小(Buffersize) 设置写入数据到磁盘前保留在核心缓存中捕捉数据的大小。如果你发现丢包,可尝试增大该值。设置网卡是否为混杂捕获模式(Capturepacketsinpromiscuousmode) 指定Wireshark捕捉包时,设置接口是否为混合接收模式。 在非混杂模式下,Wireshark捕获满足以下条件的包: 含本网卡地址单播包、具有多播地址且与本网卡地址配置相吻合的数据包、广播包。 而在混杂模式下,Wireshark除捕获上述类型的数据包外,与本网卡地址配置不吻合的组播包也会被捕获下来。设置捕获过滤规则 Wireshark使用libpcap过滤语句进行捕捉过滤。 过滤语句的形式为:[not]primitive[and|or[not]primitive...]