wireshark安装与抓包说明

Wireshark软件使⽤教程Wireshark软件使⽤教程Wireshark是⾮常流⾏的⽹络封包分析软件，可以截取各种⽹络数据包，并显⽰数据包详细信息。

常⽤于开发测试过程各种问题定位。

本⽂主要内容包括：1、Wireshark软件下载和安装以及Wireshark主界⾯介绍。

2、WireShark简单抓包⽰例。

通过该例⼦学会怎么抓包以及如何简单查看分析数据包内容。

3、Wireshark过滤器使⽤。

通过过滤器可以筛选出想要分析的内容。

包括按照协议过滤、端⼝和主机名过滤、数据包内容过滤。

Wireshark软件安装软件下载路径：。

按照系统版本选择下载，下载完成后，按照软件提⽰⼀路Next安装。

如果你是Win10系统，安装完成后，选择抓包但是不显⽰⽹卡，下载win10pcap兼容性安装包。

下载路径：Wireshark 开始抓包⽰例先介绍⼀个使⽤wireshark⼯具抓取ping命令操作的⽰例，让读者可以先上⼿操作感受⼀下抓包的具体过程。

1、打开wireshark 2.6.5，主界⾯如下：2、选择菜单栏上Capture -> Option，勾选WLAN⽹卡（这⾥需要根据各⾃电脑⽹卡使⽤情况选择，简单的办法可以看使⽤的IP对应的⽹卡）。

点击Start。

启动抓包。

3、wireshark启动后，wireshark处于抓包状态中。

4、执⾏需要抓包的操作，如ping 。

5、操作完成后相关数据包就抓取到了。

为避免其他⽆⽤的数据包影响分析，可以通过在过滤栏设置过滤条件进⾏数据包列表过滤，获取结果如下。

说明：ip.addr == 119.75.217.26 and icmp 表⽰只显⽰ICPM协议且源主机IP或者⽬的主机IP为119.75.217.26的数据包。

5、wireshark抓包完成，就这么简单。

关于wireshark过滤条件和如何查看数据包中的详细内容在后⾯介绍。

Wireshakr抓包界⾯说明：数据包列表区中不同的协议使⽤了不同的颜⾊区分。

Wireshark的抓包及过滤规则实验Wireshark是世界上最流行的网络分析工具。

这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。

与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。

Wireshark的优势：- 安装方便。

- 简单易用的界面。

- 提供丰富的功能。

Wireshark的原名是Ethereal，新名字是2006年起用的。

当时Ethereal的主要开发者决定离开他原来供职的公司，并继续开发这个软件。

但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个新名字也就应运而生了。

实验一抓ARP包一：安装并运行wireshark开始捕获数据包，如图所示点击第二行的start开始捕获数据包。

二：几分钟后就捕获到许多的数据包了，主界面如图所示：如上图所示，可看到很多捕获的数据。

第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是数据包的信息。

选中第一个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三部分。

上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据三：开始分析数据在下图中Filter后面的编辑框中输入：arp（注意是小写），然后回车或者点击“Apply”按钮截图（替换掉该图）现在只有ARP协议了，其他的协议数据包都被过滤掉了。

注意到中间部分的三行前面都有一个“+”，点击它，这一行就会被展开。

如下图所示：截图（替换掉该图）现在展开第一行。

看到的结果如下：截图（替换掉该图）在上图中我们看到这个帧的一些基本信息：帧的编号：帧的大小：帧被捕获的日期和时间：帧距离前一个帧的捕获时间差：帧距离第一个帧的捕获时间差：帧装载的协议：现在展开第二行：截图（替换掉该图）我们可以看到：目的地址（Destination）：源地址（Source）：帧中封装的协议类型：Trailer：是协议中填充的数据，为了保证帧最少有64字节。

实验二Wireshark安装和使用实验目的1.安装Wireshark网络协议分析软件；2.学习了解Wireshark软件功能；实验内容1.1Wireshark简介Wireshark（前称Ethereal）是最好的开源网络封包分析软件之一。

网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。

Wireshark使用WinPcap作为接口，直接与网卡进行数据报文交换。

1.Wireshark的主要应用1）网络管理员用来解决网络问题；2）网络安全工程师用来检测安全隐患；3）开发人员用来测试协议执行情况；4）网络初学者用来学习网络协议；5）除了上面提到的，Wireshark还可以用在其它许多场合。

2.Wireshark的主要特性1）支持UNIX和Windows平台；2）在接口实时捕捉包；3）能详细显示包的详细协议信息；4）可以打开/保存捕捉的包；5）可以导入/导出其他捕捉程序支持的包数据格式；6）可以通过多种方式过滤包；7）可以通过多种方式查找包；8）可以通过过滤以多种色彩显示包；9）创建多种统计分析。

1.2安装WiresharkWireshark软件可以通过官方网站（https:///download.html）进行下载，根据主机配置选择下载适合的版本，例如主机操作系统为windows 7 64位旗舰版，可以选择下载版本为Wireshark-win64-2.2.7.exe。

下载完成后，打开下载文件进行如下安装。

1）双击此下载的软件包，开始进行安装，该界面显示了Wireshark的基本信息，点击“Next”，如图2-1所示；图2-1欢迎界面2）该界面显示了使用Wireshark的许可证条款信息。

阅读许可证条款，如果同意接受此条款，点击“I Agree”，如图2-2所示：图2- 1许可协议对话框3）选择希望安装的Wireshark组件，这里接受默认选项即可，如图2-3所示；图2-3 选择组件对话框4）该界面用来设置创建快捷方式的位置和关联文件扩展名，如图2-4所示；图2-4 Select Additional Tasks对话框5）选择Wireshark安装路径，点击“Next”，如图2-5所示：图2-5 安装位置对话框6）该界面提示是否要安装WinPcap。

GNS3，VPCS，wireshark的安装与使用教程1.准备工作（1）若原来安装过Dynamips和wincap（旧版本）的请先卸载。

（2）在任意盘下建立文件夹LAB，在该文件夹下建立3个子文件夹project， temp， ios，文件夹名字可以根据个人喜好改变，但一定要为英文。

（3）将已有的IOS及PIX的BIN文件拷到ios文件夹下（在GNS30.7版本中，模拟时无法识别RAR的文件，RAR文件必须解压为BIN文件，然后加载，GNS30.6中可以识别）。

2.开始安装组件全部安装。

3.安装完成启动GNS3，进入初始界面，选择第一个进入配置界面（第2次以及以后登录，在“编辑——首选项”中可打开）设定：在语言处选择自己合适的语言，project为拓扑图所在处，image为IOS文件所在文件夹。

然后选择左边的第二个Dynamips ；Executable path为dynmpis-wxp.Exe 的路径，选择你所安装的文件夹即可Working director为GNS3工作时，产生的临时文件所在目录Enable sparse memory feature 勾上，可以节约内存。

配置好后，点击Test，进行测试测试成功，基本配置完成。

4.加载IOS（点击：“编辑——IOS和Hypervisors”）;进入IOS配置界面选择合适的IOS配置并保存（IOS先以放入对应的文件夹）配置好后，选择路由器运行路由器当路由器成功运行后，准备计算Idle值(GNS3完全模拟路由器的内核，相当于真实路由，所以会大量消耗CPU和内存，计算Idle的值，是为了减少CPU空转的时间，提高利用率）在计算时，注意选择带*号的值，此为最优值，（在有多个带*的值中，选择数值最小的）在没有出现带*值时，可以多计算几次。

Idle的值只用计算一次，GNS3会自动记忆5.配置启动路由器的方式（telnet协议是核心，其他使用的工具全部为外壳）选择General中第二项Preconfigurated terminal commands 为选择登陆时使用的命令模式，可以选择telnet ,也可以选择putty（GNS30.6中没有这个功能，也没有登陆方式的选择，0.6中默认的是telnet，并没putty)*********不管选择什么登陆模式，都要点击后面使用Use,不然无法生效选择telnet模式********** 此处注意，选择telnet模式时，显示的start telnet %h %p可能无法启动终端，此时，将命令修改成telnet %h %p 即可登入，再次加入%d 无法启动选择putty模式Telnet启动Putty启动画面********* 一般不建议使用telnet方式登入（前面提到了，真正使用的方式为telnet，一般用有壳的软件 putty或SecureCRT下面介绍SecureCRT和GNS3的连接方法在terminal command中，修改成图中显示的样子，D:\LAB\SecureCRT\SecureCRT.exe为这个软件所在路径 /T是SecureCRT下的一个命令SecureCRT启动模式下面介绍GNS3中默认的抓包工具Wireshark（ethereal高级版本,使用ethereal一样）的使用1、安装时组建全选Wincap不用安装了，前面安装GNS3时已经安装安装完成后，在GNS3中进行设置配置完成后，建立基本的拓扑图选择Capture，Wireshar启动注意观察，在标题栏显示的是R1_to_R2，在一开始，可以选择抓包的方向然后再路由器R1中PING R2显示成功再观察Wireshark发现没有变化这是Wireshark和GNS3总存在的一个问题，wireshark无法做到抓包同步显示，这时关掉wireshark，在重复刚才的步骤，start capture 即可看到新内容图中可见，存在ICMP的包，，即抓包成功。

linux wireshark使用方法# Linux Wireshark 使用方法Wireshark 是一个强大的网络协议分析工具，它在Linux 系统上得到广泛应用。

本文将介绍如何在 Linux 系统上安装和使用 Wireshark。

## 1. 安装 Wireshark在大多数常见的 Linux 发行版中，Wireshark 都可以通过包管理器进行安装。

以下是几个常见的发行版的安装命令：- Ubuntu/Debian：```sudo apt-get install wireshark```- Fedora/CentOS：```sudo dnf install wireshark```- Arch Linux：```sudo pacman -S wireshark```安装过程可能需要输入管理员密码，根据提示进行操作即可。

## 2. 配置 Wireshark 权限Wireshark 需要以 root 权限运行才能够监听网络接口。

为了避免直接使用 root用户运行 Wireshark，我们可以通过配置允许非特权用户捕获数据包的方法。

运行以下命令来配置：```sudo dpkg-reconfigure wireshark-common```在弹出的对话框中选择“是”，然后在下一个对话框中选择“确定”。

这将允许非特权用户进行数据包捕获。

## 3. 打开 Wireshark在命令行中运行以下命令来打开 Wireshark：```wireshark```Wireshark 将以图形界面的形式打开。

## 4. 选择网络接口在Wireshark 的界面中，可以看到一个网络接口列表。

选择要监听的网络接口，例如以太网或 Wi-Fi 接口。

点击该接口，然后点击“开始”按钮开始监控该接口上的网络流量。

## 5. 分析数据包一旦开始监控网络接口，Wireshark 将开始捕获数据包。

你将看到实时交换的网络流量。

你可以使用 Wireshark 的过滤器功能来仅显示感兴趣的数据包，以便更好地分析。

实验一Wireshark的安装与使用一、实验目的1、熟悉并掌握Wireshark的基本使用；2、了解网络协议实体间进行交互以及报文交换的情况。

二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、预备知识要深入理解网络协议，需要观察它们的工作过程并使用它们，即观察两个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动作，观察这些动作及其影响。

这种观察可以在仿真环境下或在因特网这样的真实网络环境中完成。

观察正在运行的协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer），又称分组捕获器。

顾名思义，分组嗅探器捕获（嗅探）你的计算机发送和接收的报文。

图显示了一个分组嗅探器的结构。

图分组嗅探器的结构图右边是计算机上正常运行的协议和应用程序（如：Web浏览器和FTP客户端）。

分组嗅探器（虚线框中的部分）主要有两部分组成：第一是分组捕获器，其功能是捕获计算机发送和接收的每一个链路层帧的拷贝；第二个组成部分是分组分析器，其作用是分析并显示协议报文所有字段的内容（它能识别目前使用的各种网络协议）。

Wireshark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组嗅探器，是一个开源免费软件，可以从下载。

运行Wireshark程序时，其图形用户界面如图所示。

最初，各窗口中并无数据显示。

Wireshark的界面主要有五个组成部分：命令和菜单协议筛选框捕获分组列表选定分组首部明细分组内容左：十六进制右：ASCII码图 Wireshark主界面命令菜单（command menus）：命令菜单位于窗口的最顶部，是标准的下拉式菜单。

协议筛选框（display filter specification）：在该处填写某种协议的名称，Wireshark据此对分组列表窗口中的分组进行过滤，只显示你需要的分组。

捕获分组列表（listing of captured packets）：按行显示已被捕获的分组内容，其中包括：分组序号、捕获时间、源地址和目的地址、协议类型、协议信息说明。

Wireshark使用文档V1.0版mymei@2013-5-30目录一Wireshark简单认识 (3)二Wireshark抓包流程 (3)1 选择抓取的接口 (3)2 设置捕捉过滤器 (4)3 数据包保存 (5)三Wireshark数据包查看 (6)1 数据包列表 (6)2 设置显示过滤器 (7)3 设置数据包颜色显示 (8)4 头域解析 (9)四Telephony分析 (10)1 V oIP Calls (10)2 RTP (11)3 SSL/TLS (12)五其他实用功能 (13)1 后台抓包 (13)2 merge包合并功能 (13)3 数据包查找功能及Go功能 (14)4 统计功能 (14)一Wireshark简单认识Wireshark是一个网络封包分析软件。

网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料, 仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。

二Wireshark抓包流程1 选择抓取的接口Wieshark的原理就是将经过PC特定网卡的数据包截获下来，那为什么我们能抓到话机的数据包呢，因为话机网卡和PC网卡都处于集线器HUB下，HUB是共享带宽的，所有数据都是广播形式进行发送，如果使用交换机就不行了。

点击Capture菜单，选择interface:现在的wireshark 可以同时抓取多张网卡的数据包，这个很有用哦，前提是先给自己多配张网卡。

2 设置捕捉过滤器捕捉过滤器就是设置一定的条件让wireshark 只抓取某些数据包，不符合条件的直接丢弃，语法：ProtocolDirectionHost(s)ValueLogical OperationsOther expressionProtocol （协议）:可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议，则默认使用所有支持的协议。

Wireshark使⽤与功能介绍fidder主要是针对http(s)协议进⾏抓包分析的，所以类似wireshark/tcpdump这种⼯作在tcp/ip层上的抓包⼯具不太⼀样，这种⼯具⼀般在chrome/firefox的开发者⼯具下都有集成。

安装wireshare会推荐安装winpcap,winpcap(windows packet capture)是windows平台下⼀个免费，公共的⽹络访问系统。

开发winpcap这个项⽬的⽬的在于为win32应⽤程序提供访问⽹络底层的能⼒.Wireshark介绍wireshark是⾮常流⾏的⽹络封包分析软件，功能⼗分强⼤。

可以截取各种⽹络封包，显⽰⽹络封包的详细信息。

wireshark是开源软件，可以放⼼使⽤。

可以运⾏在Windows和Mac OS上。

使⽤wireshark的⼈必须了解⽹络协议，否则就看不懂wireshark了。

Wireshark不能做的为了安全考虑，wireshark只能查看封包，⽽不能修改封包的内容，或者发送封包。

Wireshark VS FiddlerFiddler是在windows上运⾏的程序，专门⽤来捕获HTTP，HTTPS的。

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容总结，如果是处理HTTP,HTTPS 还是⽤Fiddler, 其他协议⽐如TCP,UDP 就⽤wireshark同类的其他⼯具微软的network monitorsniffer什么⼈会⽤到wireshark1. ⽹络管理员会使⽤wireshark来检查⽹络问题2. 软件测试⼯程师使⽤wireshark抓包，来分析⾃⼰测试的软件3. 从事socket编程的⼯程师会⽤wireshark来调试4. 听说，华为，中兴的⼤部分⼯程师都会⽤到wireshark。

总之跟⽹络相关的东西，都可能会⽤到wireshark.sniffer:1.安装sniffer后，运⾏时，找不到⽹卡，（sniffer在win 7下找不到⽹卡）解决⽅法：点击开始—找到sniffer的快捷⽅式—右键属性—把兼容模式改为“windows xp sp3”—确定—再次运⾏，就可以找到⽹卡了。

Wireshark抓包分析指南Wireshark抓包指南⽬录⼀.Wireshark⼯具介绍 (2)⼆.Wireshark安装 (2)三.wireshark⽹卡配置 (7)四.SIP协议分析 (8)1.SIP注册流程 (8)2.SIP呼叫流程 (9)3.DTMF分析 (10)4.RTP媒体分析 (11)⼀.Wireshark⼯具介绍Wireshark是⼀个⽹络数据库分析软件，功能⼗分强⼤。

可以截取各种⽹络封包，包括HTTP，TCP，UDP，SIP等⽹络协议，显⽰⽹络封包的详细信息。

⼆.Wireshark安装1.wireshark下载，下载地址：/doc/c1efd82b680203d8ce2f24af.html /download.html，根据⾃⼰笔记本系统选择合适的安装包2.安装步骤：a.双击wireshark安装包，点击nextb.License agreement信息，点击I Agress继续c.选择组件，默认安装所有组件，点击next继续d.创建快捷⽅式，关联⽂件类型，点击next继续e.选择wireshark的安装路径，点击next继续d.选择安装WinPcap，该插件⽤于监听⽹络的数据库，点击Install安装：e.Wincap 4.1.3安装，点击next继续：d.点击I Agree继续：e.选择Automatically start the WinPcap driver at boot time，点击Install 安装：f.点击finish启动wireshark。

三.wireshark⽹卡配置点击菜单“Capture”>”Interface”，选择所需要抓去信息的⽹卡：如果要抓取IAD的数据包，笔记本有线⽹卡和IAD的⽹卡都连接在HUB上，在笔记本上抓取有线⽹卡的数据包即可抓到IAD的所有的数据库包。

四.SIP协议分析1.SIP注册流程通过sip关键字来过滤sip包2.SIP呼叫流程可根据sip包头的Call-ID字段可以完整过滤出⼀个呼叫的流程：3.DTMF分析DTMF⽅式可分为三种：SIP Info、RFC2833和Tone。

wireshark抓包工具用法wireshark啊，这可是个超有趣又超有用的抓包小能手呢。

咱先说说这wireshark的界面吧。

打开它就像打开了一个装满各种网络小秘密的百宝盒。

界面上有好多栏，就像是一个个小格子，每个格子都有它的用处。

最上面那栏，就像是一个小导航，能让你找到各种功能按钮。

左边那一栏呢，像是个小目录，把抓到的包都整整齐齐地列在那儿。

而中间那一大块地方，就像是个大舞台，每个抓到的包都在这儿展示自己的详细信息。

抓包之前啊，得先选好要抓包的网络接口。

这就好比钓鱼之前得选好鱼竿要放的地方。

如果选错了接口，就像在没鱼的小水坑里钓鱼，啥也抓不到。

一般电脑上会有好几个网络接口，像有线网卡、无线网卡啥的。

要是你想抓无线的包，就得选那个无线网卡对应的接口。

怎么选呢？在wireshark的界面里仔细找一找，能看到一个像小齿轮旁边有好多小线条的图标，点进去就能看到那些接口啦，然后挑中你想要的那个就行。

开始抓包的时候啊，就像按下了一个魔法按钮。

一瞬间，各种包就像小虫子一样纷纷被捕捉到了。

你会看到左边的小目录里包的数量蹭蹭往上涨。

这时候可别急，每个包都像是一个带着小秘密的小包裹。

你要是想看看某个包里面到底装了啥，就点一下它。

然后中间的大舞台就会把这个包的详细信息都展示出来。

比如说，有这个包的源地址、目的地址，就像是写信的时候的寄信人和收信人地址一样。

还有这个包的协议类型，是TCP 呢还是UDP，这就好比是信件是用挂号信的方式寄的（TCP比较可靠），还是像明信片一样随便寄寄（UDP速度快但不太可靠）。

要是你想找特定类型的包，这也不难。

wireshark有个很厉害的小功能，就像一个小筛子一样。

比如说你只想看HTTP协议的包，因为你想知道网页之间是怎么传递信息的。

那你就可以在上面的搜索栏里输入“HTTP”，然后神奇的事情就发生了，那些不是HTTP协议的包就像小沙子一样被筛掉了，只剩下HTTP协议的包展现在你眼前。

LTE数传问题分析Wireshark使用指导书(仅供内部使用）For internal use only华为技术有限公司Huawei Technologies Co., Ltd.版权所有侵权必究All rights reserved修订记录Revision record日期Date 修订版本Revisionversion修改描述change Description作者Author2011-12-14 1.0 初稿建立魏志00128876目录Table of Contents1概述 (5)2软件安装 (5)2.1安装WinPcap提示冲突且不可删除 (5)2.2安装Wireshark后网卡选项中找不到网卡 (6)2.3Windows 7下提示NPF驱动未运行，找不到网卡 (6)3数据采集 (6)3.1使用Wireshark采集数据 (6)3.1.1Wireshark抓包选项 (8)3.1.2捕捉滤波器 (10)3.2使用其它软件采集数据 (11)3.2.1Windows 7下Wireshark抓包找不到Huawei E398虚拟网卡，利用MS NetworkMonitor采集数据 (11)4软件设置 (12)4.1Wireshark基本界面 (12)4.2参数设置 (13)4.2.1如何配置Packet list pane（包列表显示区）显示项 (13)4.2.2IP协议配置 (15)4.2.3TCP协议配置 (15)4.2.4ESP协议配置 (16)5数据处理 (16)5.1常规技能 (16)5.1.1时间设置 (16)5.1.2如何快速找到某个包 (17)5.1.3指定协议解析 (17)5.1.4如何自动重组分片包 (18)5.2文件处理 (18)5.2.1仅保存需要的数据 (18)5.2.2多文件合并 (20)5.2.3转换文件格式输出 (21)5.3Wireshark自带的命令行工具 (22)5.3.1如何使用Wireshark命令行工具 (22)5.3.2利用editcap分割文件 (23)6数据分析 (24)6.1Wireshark数据分析基本知识 (24)6.1.1Wireshark基本标识 (24)6.1.2抓包统计Summary (25)6.1.3流量统计IO Graphs (25)6.1.4汇总所有日志的专家信息Expert Info Composite (28)6.1.5交互流图Flow Graph (29)6.2TCP基本参数分析 (30)6.2.1TCP接收窗口 (30)6.2.2TCP发送窗口 (30)6.2.3其它TCP基本参数 (31)6.2.4RTT环回时延 (32)6.2.5如何过滤某一条TCP链路 (32)6.3显示滤波器分析法 (33)6.3.1显示滤波器表达式 (33)6.3.2如何把抓包中的某个字段设为滤波器 (34)6.3.3常用显示滤波器 (35)6.3.4TCP显示滤波器族 (35)6.3.5利用显示滤波器分析丢包 (37)6.3.6利用显示滤波器分析乱序 (37)6.3.7利用显示滤波器分析窗口收缩 (38)6.4图形分析法 (39)6.4.1Wireshark的图形控制 (39)6.4.2TCP流量图Throughput Graph (40)6.4.3TCP接收窗口图Window Scaling Graph (41)6.4.4时序图介绍Time-Sequence Graph (42)6.4.5Stevens时序图Time-Sequence Graph (Stevens) (43)6.4.6tcptrace时序图Time-Sequence Graph (tcptrace) (43)6.4.7利用tcptrace时序图分析TCP链路异常 (44)7使用Wireshark分析LTE数传问题流程 (45)7.1.1常规步骤 (45)7.1.2使用Wireshark分析LTE数传问题流程图 (47)1 概述Wireshark是一款自由、开源的包分析软件。

Wairshark使用教程第 1 章介绍1.1. 什么是WiresharkWireshark 是网络包分析工具。

网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信的电量的电度表一样。

（当然比那个更高级）过去的此类工具要么是过于昂贵，要么是属于某人私有，或者是二者兼顾。

Wireshark出现以后，这种现状得以改变。

Wireshark可能算得上是今天能使用的最好的开元网络分析软件。

1.1.1. 主要应用下面是Wireshark一些应用的举例：•网络管理员用来解决网络问题•网络安全工程师用来检测安全隐患•开发人员用来测试协议执行情况•用来学习网络协议除了上面提到的，Wireshark还可以用在其它许多场合。

1.1.2. 特性•支持UNIX和Windows平台•在接口实时捕捉包•能详细显示包的详细协议信息•可以打开/保存捕捉的包•可以导入导出其他捕捉程序支持的包数据格式•可以通过多种方式过滤包•多种方式查找包•通过过滤以多种色彩显示包•创建多种统计分析•…还有许多不管怎么说，要想真正了解它的强大，您还得使用它才行图 1.1. Wireshark捕捉包并允许您检视其内1.1.3. 捕捉多种网络接口Wireshark 可以捕捉多种网络接口类型的包，哪怕是无线局域网接口。

想了解支持的所有网络接口类型，可以在我们的网站上找到/CaptureSetup/NetworkMedia.1.1.4. 支持多种其它程序捕捉的文件Wireshark可以打开多种网络分析软件捕捉的包，详见1.1.5. 支持多格式输出Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式，详见1.1.6. 对多种协议解码提供支持可以支持许多协议的解码(在Wireshark中可能被称为解剖)1.1.7. 开源软件Wireshark是开源软件项目，用GPL协议发行。

wireshark使用与抓包分析1、下载安装wireshark从/ 下载安装Windows平台的wireshark，双击安装文件安装即可，在安装过程中注意选择安装winpcap。

安装过程简单，没有问题。

2、wireshark的使用启动wireshark后，选择工具栏中的快捷键（红色标记的按钮）即可Start a new live capture。

主界面上也有一个interface list（如下图红色标记1），列出了系统中安装的网卡，选择其中一个可以接收数据的的网卡也可以开始抓包。

在启动时候也许会遇到这样的问题：弹出一个对话框说NPF driver 没有启动，无法抓包。

在win7或Vista下找到C: \system\system32下的cmd.exe 以管理员身份运行，然后输入net start npf，启动NPf服务。

重新启动wireshark就可以抓包了。

抓包之前也可以做一些设置，如上红色图标记2，点击后进入设置对话框，具体设置如下：Interface：指定在哪个接口（网卡）上抓包（系统会自动选择一块网卡）。

Limit each packet：限制每个包的大小，缺省情况不限制。

Capture packets in promiscuous mode：是否打开混杂模式。

如果打开，抓取所有的数据包。

一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。

Filter：过滤器。

只抓取满足过滤规则的包。

File：可输入文件名称将抓到的包写到指定的文件中。

Use ring buffer：是否使用循环缓冲。

缺省情况下不使用，即一直抓包。

循环缓冲只有在写文件的时候才有效。

如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。

Update list of packets in real time：如果复选框被选中，可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。

Windows下使用Wireshark（ethereal）进行抓包分析说明：由于版权问题，该开源软件的新版本现已更名为Wireshark。

1、下载安装a 从/ 下载Wincap安装；b 从/ 下载安装Windows平台的Ethereal（或从/projects/wireshark/ 下载安装Wireshark），双击安装文件安装即可。

2、使用启动ethereal 以后，选择菜单Capature->Start ：选择好接受数据的网卡（Ethereal会自动选择系统中安装的唯一的网卡），再单击“OK”按钮即可开始抓包。

上图中的对话框还可以进行一些设置：l Interface：指定在哪个接口（网卡）上抓包（系统会自动选择一块网卡）。

l Limit each packet：限制每个包的大小，缺省情况不限制。

l Capture packets in promiscuous mode：是否打开混杂模式。

如果打开，抓取所有的数据包。

一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。

l Filter：过滤器。

只抓取满足过滤规则的包。

l File：可输入文件名称将抓到的包写到指定的文件中。

l Use ring buffer：是否使用循环缓冲。

缺省情况下不使用，即一直抓包。

注意，循环缓冲只有在写文件的时候才有效。

如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。

l Update list of packets in real time：如果复选框被选中，可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。

单击“OK”按钮开始抓包，系统显示出接收的不同数据包的统计信息：单击“Stop”按钮停止抓包后，所抓包的分析结果显示在面板中：3、Ethereal的抓包过滤器抓包过滤器在抓包过程中用来抓取感兴趣的数据包。

它使用的是libcap 过滤器语言，在tcpdump 的手册中有详细的解释，基本结构是：[not] primitive [and|or [not] primitive …]。