wireshark抓包应用指导说明书

1、杭州迪普科技有限公司wireshark抓包应用指导说明书拟制雷振华日期评审人日期签发日期修订记录日期修订版本描述作者v1.0初稿完成雷振华1 wireshark介绍 32功能介绍 33图形界面抓报文 33.1 选择网卡抓报文 33.2 显示报文抓取时间 43.3 wiresharkm面布局43.4 报文过滤条件 43.4.1 常用过滤条件43.4.2 wireshark expression53.4.3 高级过滤条件 53.4.4 wireshark capture filter54命令行抓报文 64.1 选择网卡64.2 命令行过滤条件 64.3 常用过滤条件 65批量转换报文格式 71 w

2、ireshark 介绍wireshark?是开源网络包分析工具，支持 windows/linux/unix 环境。网络包分析工具的主要作用是尝试捕获 网络包，并尝试显示包的尽可能详细的情况。可以从网站下载最新版本的wireshark （。wireshark通常在4-8周内发布一次新版本2 功能介绍wireshark支持图形和命令行两种抓报文方式3 图形界面抓报文3.1 选择网卡抓报文第一步 打开 wireshark抓包软件，点击capture-intefaces ”,如图3-1图3-1选择网卡第二步选择抓包的网卡，点击 strart 开始抓包，这样将抓取流经此网卡的所有报文，并临时保存在内存中

3、。因此，如果持续抓包将消耗掉系统所有内存。如图 3-2和图3-3图3-2启动抓包图3-3抓包界面图标说明重新抓报文停止抓报文表1-13.2 显示报文抓取时间打开 wireshark 抓包软件，点击 view-timedisplay format-date and time of day ”,如图 3-4 和图 3-5图3-4效果图：图3-53.3 wireshark界面布局wireshark界面主要分为三部分（如图 3-6）,区域一显示抓取的报文，区域二显示选中报文的包头详细信息，区域三显示选中报文的详细信息，默认以十六进制显示。图3-6功能说明区域一显示抓取的报文区域二显示选中报文的包头详细

4、信息区域三显示选中报文的详细信息，默认以十六进制显示packets抓取的所肩报文计数displayed满足过滤条件的报文计数表1-23.4 报文过滤条件wireshark能够根据应用的需要设置灵活方便的过滤条件，迅速筛选出符合条件的报文。wireshark的filter过滤能够自动检测语法合法性，如果过滤条件设置正确，则filter输入框为绿色，如果过滤条件设置错误，则 filter输入框为红色。如图 3-7图3-73.4.1 常用过滤条件功能说明源源ip.dstipipudp/tcp.port=80过滤udp或tcp源端口或目的端口是 80的报文udp/tcp.srcport=40004过滤

5、udp或tcp源端口是40004的报文udp/tcp.dstport=80过滤udp或tcp目的端口是80的报文tcp.srcport=40004 and tcp.dstport=80过滤tcp协议源端口是40004且目的端口是80的报文tcp/udp/http过滤tcp/udp/http 报文抓tcp syn报文ip.id=0xadcd过滤ip报文id是0xadcd的报文表1-33.4.2 wireshark expression当然，如果你对filter过滤规则不熟悉或者不知道如何怎么写时，可以使用 wireshark的expression ,这里列出了 wireshark所支持的所有过滤

6、协议以及过滤方式图3-83.4.3 高级过滤条件上述的过滤条件都是wireshark内置的，主要是根据已知的包头字段内容过滤。同时 wireshark也支持根据报文负载内部过滤。表1-4项目说明tcp/udpoffset:n从tcp或udp偏移指定字节后，命中指定n个字节的内容tcp20:8表不从20开始，取8个字节udp8:3表不从8开始，取3个字节udp8:3=81:60:03不可以写为 udp8:3=816003根据负载单字节过滤，如图 3-9图3-9根据udp负载过滤双字节，如图 3-10图 3-10根据tcp包头后3字节内容，如图3-11图 3-113.4.4 wireshark c

7、apture filter根据3.1抓报文，wireshark默认抓取所选网卡的所有报文，并且保存在内存中。如果忘记停止抓报文，会耗 尽系统内存。我们完全可以设置 wireshark只抓取满足过滤条件的报文。图 3-12点击图中的“ options”选择，进入图 3-13图 3-13设置好过滤条件后，点击 start , wireshark就只抓取符合过滤条件的报文。在capture filter 输入框内输入过滤条件。语法正确，输入框背景显示为绿色，语法错误，输入框背景显示 为红色。请注意，此处的语法与 3.4.1不相同。常用过滤条件：表1-5功能说明源源udp port 69udp端口是6

8、9的报文4命令行抓报文命令行抓包可以让抓取的报文直接保存在硬盘上，这样既不用担心wireshark抓大流量报文时（例如笔记本抓1gbps速率的报文）崩溃，又不用担心迅速耗尽系统内存的风险。4.1 选择网卡使用cmd进入 wireshark的安装目录，如图 4-1图4-1执行dumpcap.exe -d列出所有网卡图4-2根据wireshark图形界面，选择你需要抓包接口id图4-34.2 命令行过滤条件dumpcap.exe -i 1 -s 0 -b 256 filesize:10000 -w f:1.pcap -f tcp port 80图4-4项目说明-i 1接口 id值，可使用 dump

9、cap.exe -d查看-s 0指定抓取报文的长度，0表不抓取报文全部长度-b 256size of kernel buffer ,即系统内核缓存。默认是 2mfilesizes:10000每10m 一个文件保存-w f:1.pcap抓取的报文保存在f盘，文件名为1.pcap-f tcp port 80 ”抓报文的过滤条件表1-64.3 常用过滤条件2、dumpcap.exe -i 1 -s 65535 -b 256 -b filesize:200000 -w f:pcap13.pcap -f udp port 18135 批量转换报文格式步骤1、确定wireshark安装目录，如图 5-1图

10、5-1步骤2、操作方法：【计算机】=【属性=【高级系统设置二【高级=【环境变量】 在弹出的窗口中确认“用户变量”有没有“ path”变量，如果没有则选择“新建”，在弹出 的窗口中“变量名”为“path”，对应的变量值则为wireshark的安装路径。若已经存在“path 变量，则只需要编辑“ path”变量，将wireshark的安装路径作为变量值输入，注意：若“path”变量中已存在其他变量，则需要用“；”分号将各个变量隔开。系统变量的设置方 法与用户变量的设置方法一致。【说明】“用户变量”与“系统变量”的区别：用户变量只对当前用户有效，而系统变量对所有用户都生效。所以如果需要此设置对其他用

11、户也生效，则只需设置系统变量即可。图5-2图5-3图5-4步骤3、操作方法：将下面的内容复制到记事本中，然后保存为 .bat格式，命名为“批量 转化报文格式.bat ”if exist subdirs.txt del subdirs.txtnuldir /d /b /a:-d subdirs.txtfor /f %i in (subdirs.txt ) do tshark -r %i -f pcap -w converted/%i pausedel subdirs.txtnul图5-5步骤4、操作方法：将上一步创建的脚本放到需要转化的报文目录下，然后新建一个文件夹 并命名为“converted ，用于存放格式转化后的报文。图5-6步骤5、操作方法：双击脚本”批量转化报文格式.bat ，弹出一个cmd窗口会显示脚本