文档介绍:IP网络抓包工具简明用户手册
WireShark简介
非混杂模式下抓包
混杂模式下抓包
如何抓取特定的数据包
如何从已抓捕的数据中快速查找特定数据包
WireShark简介
Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,work library来进行封包捕捉。wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。
官方网站:/
WireShark 界面介绍
1. MENUS(菜单)
2. SHORTCUTS(快捷方式)
3. DISPLAY FILTER(显示过滤器)
4. PACKET LIST PANE(封包列表)
5. PACKET DETAILS PANE(封包详细信息)
6. DISSECTOR PANE(16进制数据)
7. MISCELLANOUS(杂项)
1. MENUS(菜单)
“File”(文件)
“Edit”(编辑)
“View”(查看)
“Go”(转到)
“Capture”(捕获)
“Analyze”(分析)
“Statistics”(统计)
"Help" (帮助)
打开或保存捕获的信息。
查找或标记封包。进行全局设置。
设置Wireshark的视图。
跳转到捕获的数据。
设置捕捉过滤器并开始捕捉。
设置分析选项。
查看Wireshark的统计信息。
查看本地或者在线支持。
2. SHORTCUTS(快捷方式)
在菜单下面,是一些常用的快捷按钮。
列表显示所有网卡的网络包情况,一般用的很少;
显示抓包选项,一般都是点这个按钮开始抓包;
开始新的抓包,一般用的也很少;
停止抓包,当你抓完包之后,就是点这个停止了;
清空当前已经抓到的数据包,可以防止抓包时间过长机器变卡。
3. DISPLAY FILTER(显示过滤器)
显示过滤器用于查找捕捉记录中的内容。�请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考Wireshark过滤器中的详细内容。
4. PACKET LIST PANE(封包列表)
封包列表中显示所有已经捕获的封包。在这里您可以看到发送或接收方的MAC/IP地址,TCP/UDP端口号,协议或者封包的内容。
如果捕获的是一个OSI layer 2的封包,您在Source(来源)和Destination(目的地)列中看到的将是MAC地址,当然,此时Port(端口)列将会为空。
如果捕获的是一个OSI layer 3或者更高层的封包,您在Source(来源)和Destination(目的地)列中看到的将是IP地址。Port(端口)列仅会在这个封包属于第4或者更高层时才会显示。
您可以在这里添加/删除列或者改变各列的颜色:�Edit menu -> Preferences
5. PACKET DETAILS PANE(封包详细信息)
这里显示的是在封包列表中被选中项目的详细信息。信息按照不同的OSI layer进行了分组,您可以展开每个项目查看。下面截图中展开的是HTTP信息。
6. DISSECTOR PANE(16进制数据)
“解析器”在Wireshark中也被叫做“16进制数据查看面板”。这里显示的内容与“封包详细信息”中相同,只是改为以16进制的格式表述。�在上面的例子里,我们在“封包详细信息”中选择查看TCP端口(80),其对应的16进制数据将自动显示在下面的面板中(0050)。