wireshark怎么抓包、wireshark抓包详细图文教程

1、wireshark 怎么抓包、wireshark 抓包详细图文教程wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包， 显示网络封包的详细信息。使用wireshark的人必须了解网络协议，否则就看不懂wireshark 了。为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。wireshark能获取HTTP也能获取 HTTPS但是不能解密 HTTPS所以wireshark 看不 懂HTTPS中的内容，总结，如果是处理HTTP,HTTPS还是用Fiddler,其他协议比如 TCP,UDP就用 wireshark.wireshark开始

2、抓包开始界面pl F- - -VrtLluKA.-id氏丄呂汽讥 匸卜匚划 lr j nk-l.M- j *wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。点击Caputre->lntefaces.出现下面对话框，选择正确的网卡。然后点击"Start"按钮，开始抓包Wireshark 窗口介绍19. sm 牛 h 匝n jpr”E Jr*膏 5IJ*Tr< Trtpphnrv tpgfc Intwrdk.4瞪超那盘0："3曲Qaej 2囲勺片Rw;T竝 1时丄IM1-UUltJI封色科盍«

3、3 7.2IQL2W1W.1M.1A2 乐袖 S7.2ClfiQ01£*.197.-10們57 - 4402 SO 1W. 163.1 -10J颁 LM, 8W 1W. 151 - 1V 7 1®dJD71 悴*d 21 “工#疽 忻0蚀&乱142490 1M+0110401. IM. 1-MSjl帕irr.HHnL.i87,M,?10L99i 4 7.217.141IFTF14 伽弓K二-Mtp ICk Seq-1277Wih-4747 tmw/l.rl ?M cwf cti<lrV5<M)M 恤吕Rx > hixp 4HK1盘啊”27孑屋“唱盘

4、丁 irtZ m tMiKordy > hue s<nj s*q<v *r>eaa Ltn-o <- htif -尊矗“廿勺¥ fJr*ii. H町 Seit«D acS -1 w1*v54 恥上 ggrn# , M"tp _竺前 "qd 叱女二20 右门<* hthcst-1 « - J 4SC2tA91rtS jlHTTPTCPTCP®匸68工http66 liFlirik twip 15VN卅包讦如偵息-FiiMit 3: 5-f byr*s cr wii-ff (4 33 toiiEE)b

5、Si fc>T«： cjpTurMd (.432 J em InEerK-t C ctwhn ii src： ij-LirfcT_/4：M!3isajr dct; pr<MiF专叫位lOfoPtiiidzrrrjit wwn FTOKtf votIoh札air衣 MMFZ - ja-S h w 右打Fi* s'».时t ； i艸.抽乩丄丄仇.“化.wi. “九) -iTiifiwifniHE Gmltroll Rngtcgl r 3re Ports bttp CBQi)* Ost Fcrt： abbtcir-y £1與眄 Sdq; 1. ten

6、: 016J£剖數嶠地址世鬧D0010H - * u G i'-kpg b a . *cf .UM0»04-H&3 Ta _&-ft/書R- 6- 24*4D f 7<9 4Ewga12w«we*0 J口做iC 痕Zt tXflVJT jASTOf2?- ：-.,WireShark主要分为这几个界面1. Display Filter（显示过滤器）， 用于过滤2. Packet List Pane（ 封包列表），显示捕获到的封包， 有源地址和目标地址，端口 号。颜色不同，代表3. Packet Details Pane（圭寸包详细信息）

7、, 显示圭寸包中的字段4. Dissector Pane（16进制数据）5. Miscellanous（地址栏，杂项）Filter: ip¥src = = 192J.&8.1J0? or ip.d?t=192.1&8.1,lQ2pj Expression., Clear Apply >ave使用过滤是非常重要的，初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。过滤器有两种，一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需

8、要的记录一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。在Capture ->Capture Filters 中设置保存过滤在Filter 栏上，填好Filter的表达式后，点击 Save按钮，取个名字。比如"Filter102",H Wk护h冃k;刃舛 Filter'u* I Save Fiter as 一ip.src =-192-160.1.102 or ipd麻=152.1t8_lAO2 Filter 102|HelpQKianceJFilter栏上就多了个"Filter 102" 的按钮。Fitter： ip ire -1

9、92-168.1 JL02 ar ip jd st =-1921681-102 Epref$icn» Cler AppyFilter LD2I过滤表达式的规则表达式规则1. 协议过滤比如TCP,只显示TCP协议。2. IP 过滤比如 ip.src =02显示源地址为 02 ，ip.dst=02,目标地址为 023. 端口过滤tcp.port =80, 端口为 80 的tcp.srcport = 80,只显示 TCP协议的愿端口为 80的。4. Http 模式过滤http.request.metho

10、d="GET",只显示 HTTP GET方法的。5. 逻辑运算符为AND/ OR常用的过滤表达式用途过滤表达式http只查看HTTP协议的记录ip.src =02 or ip.dst=02源地址或者目标地址是02圭寸包列表(Packet List Pane)封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。 你可以看到不同的协议用了不同的颜色显示。你也可以修改这些显示颜色的规则,View ->Colori ng Rules.So-urtePeomI Length892128

11、0二站.1：日45E02TCP14出EPBt -S9217SQ 132 165 处.102TOPLTCP口upaSd&lCnO T4.125-12B-15.6.i .TCP63(色护I史nrt up AO：鮎*?祠I htt*L76 Svanda rd queryab 1 sg j ahft5 r 小血 ”、r1叮bj"Hi 3G4 iilOT Mldlf ijZ7O 16« 5176320 114, B0»L42>90?7116. S6B03GA U2272 5巧 ET8LZI 丄22 16E,二丄02273

12、 UJISSSniSZilflflhlLWZ.74 16. ? J DLfHCi J 2.1.102lee.iM. i.ioz181自O.lCiEL8Q.lMi2S 5.118HTT尸pnsDM5 IMS TCP76 Staida75 Standardl query Okd4be A cppb 1 口>g cot16.1 >1. RO. 1151 . 1 _HTTP264Trnf|ii'-1 L| HFTF/j. j卜小T 叩 HITh q3药la r S&d 3d 60 12 r l&B, 1.10U4.ao.lfi2, flQTCP

13、TCP hup Ark- ?74« K5&1 > http Ark, 5fi>q = ?0c>|27717.0C1S280 180,168.192.160-1.102grts虹Sandrd queryrs s ponge 0xd4bs Ik 61-15 5-2?S17.04371M1-10?Dnis77srarid.irij queryOk 7272 a www,hjengl15h,com271/. Otbl/J j 130.1G.亠 _d .10UJ01DIMSSradartl qteryrespor.s*cmwe wa hui 1ZBO

14、17AQ6BieiO 121.102180.168.Z55.118应idpidj' d nuciy3 4 )CM a hw* Ch 1 r'iri2. Cjm2归17. 口两901当2口7'55.11 Hl餐丄呂£：1102DrtsT3.ndarc| queryrEjporiE ciwho日曇匕 ei.1&QP12 6217.07335401.102丄18DM57151；amdardl queryOkOiIC *2 9317.1420580180-1*8.255.110ia2.ifia.i.ta3DMS175sra-idjiri

15、：Ji query氏 aon&e 0 m 72.iwe-ij 曰2B41/. LJ 勺 ¥丄4 J 丄弓卫-ItiS. l.lOif1.HU.1I -.2 b J.lltSDMS7Ssradardl 口uerL'ximj a dni.iidrslr *or7t- st巧d鮎M qter/ oxbioa a 呻出和十朗亡片54a http y 唱电叼三匸OWI Mk三百三L圭寸包详细信息 (Packet Details Pane)这个面板是我们最重要的，用来查看协议中的每一个字段。各行信息分别为Frame:物理层的数据帧概况Ethernet II:数据链路层以太网帧头部

16、信息In ternet Protocol Versio n 4:互联网层IP包头部信息Transmission Control Protocol:传输层T的数据段头部信息，此处是 TCPHypertext Tran sfer Protocol:应用层的信息，此处是HTTP协议Fl« Sdl Mie# 3 口POKE =国筍& 5tUfUCi Teep- QTVirier-出HSb郢永恻轴嘲丨1二曰冀事7 O申MS潯立HJ讥q gFilter:卜 Ttp号 氐prxei 口仃No.TimeciL-xeP acetolLcngrri ；nfo *C 0. 715 5：5800 l

17、Z.lC&.l.lCZ1H.2S5.2I5.3S05SDP175 wi-SE. lIS 3.7ZDZOOO 0250SDP175 vi-SEi24 6T05fi5Q01A?.168,1,10；HTTP?0 GET3& 6.Q05537QQ IS?1巧肚 l.li己199斗广Z1T. 13HTTPZ5D GET #4 472 0 3P M192, lfi®-1,1022055DP1*5 M-5EJ66 10.6 614 5-0192.11.10261.155xL£5l116ttTTP115

18、6 GET »37 11. >J 5T020 51.15 5.IM.116W.1G9.1J1O2HTTP弼A HTTP,131 ll.?5234192«161.10aan. 142.90HTTP10? 9 1ET ,11? 11B 6039050 1.1Q?UpBD.142.90HTTPl(wa get f13 < 11.&34TQSQ195,15.1,1C?1L1, ao.L42.9QHTTP1W3 GET r .4 | 一MF raf 1 rh4rl)Q ：D; 25 tics on 訓r：2X>gblXS), 25C 加3c<ipTur

19、cJ (：CC'Oor«4B Ct barn at IX, Srt： Frudr ivs_26;12 :bfOO;0F:ll;bf), DstTp-LinkT_7jHtl TntfirnEt Protac口 1 version 4 p src：102.163,1.1口2 (I'j?. 168/1 .HO?)1 呱Tranml55lon 匚口ntrol Pratocnl B 吕厂匚 Pert: sslogHiigr(1204；: r D5T Port: hrtfS+i jpertext Transf er Prot口亡白1MLioiottj 4TCP包的具体内容从下图可

20、以看到 wireshark捕获到的TCP包中的每个字段。0 ?酊疋时io? Mibuul0j4曳如 * * 爆&凶 Z 逑肿 U vStiFij*!? liJBJi JCwTiJL 曲« T A ； |BW1 蛙耳 G 巧 I Hi Clur 4fj-IIP>jET .«jp ipf -rir"* . Fr*- IffJt 3J1 byes m "广色 住blr巧.331 1«史岀.tauiured (zw? b1*") e 1 m*rfjce 廿-LTft?rrVM I I .：怙卜*：】:L- t TT ： If 1

21、ftfbU ：A| ： 7«uprotocol wers 1wt src:门吩，if乳iiEi的.os? f?0.iEiTi$«.24 (22v.iftLr.srsf.v ,fcjn te-*lT*31, tC +垃代，时汀齢-昨1 .liM .j, . 3T Ph" Wtn曲：L, *<SH,rc* pkT ； f iWlll 权-丹1 <lijDestnatiin prt/t http Cao>T?rM4 1M*«:冲SEqiPOze Funfrb ” 1 Creli-Ezencis rtriheJn«»t wk

22、巾W: m (r*Uriv* RMfcfeflc* 社制也曲申啣椁 Mthtf*：' 1Qpil >11W *c4t fulbfer*)HtkMr it-ngt-P! 20H*wiifcw 5*z« valje: Ji JZCmml献树 亦乍I曲 站, IZftOwi ndow i ze sol "i rrj F*c-tnr: 4 eh#Ck 1 Jt: fje .i*t MtHojiT-io 曲!1吐理泗j-F55Q/*CliBytew F种 F巧gfTt: J?Z)看到这，基本上对wireshak有了初步了解，现在我们看一个 TCP三次握手的实例三次握手过

23、程为邑1匚P图SYN=1圍魁打TCP三次握手» 尸沖!1fan <for rr m 3 iolIre (7531 b1xs> 948 bytes capxurd (?5&1 炉匸厂 on Irrcerface Q ve M;12：bf r00 ：0f ;L1 ：2 ;l；'：bf 1. Djt: HuaxelDe 65 ;tc： C54:a5半塞爲生次握手血E TnternET «- 一.匸 a <un 4 , Src: 192. 168丄.白(192.丄GB1 0 , Dsr :右T. 155-169.11 右(51.1 55.16Q.

24、116)世 Transrilsslon control ProtncQl f src： port: f o" locorp (2242)p Dst Port: http CBO)卜 seq: 1P Ack .1, Leri: 89>图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的，这说明HTTP的确是使用TCP建立连接的。第一次握手数据包客户端发送一个TCP标志位为SYN序列号为0，代表客户端请求建立连接。如下FJien tcp.slr«m eqIni'Ci66 fnl i ncorp > http | SYN J Se

25、rj=D win=B12 Leh=D M!46 hutp > Fol locor P STN # Jfi£K S电牛0 ACk-=l V/1h8： fol tocarp > hTt：p ack sbq«i Ack-1 tf1n-iW44 I 開8 GET Aanloiaa http/1.1Idfifi TCP saqnnant 口十 沖 rpisspinblFd 14©母tcp secpent of a rasemblEd pdu54 fol iocarp > http |MK sec|-B95 Ack-2 02 5 Win-H打开 wiresh

26、ark,打开浏览器输入 在wireshark 中输入http 过滤，然后选中 GET /tankxiao HTTP/1.1的那条记录，右键然后点击"Follow TCP Stream",T 2O.i?lL&-36u fll.丄汕.丄巧4丄丄6 12.丄旳二PQ 20T<jl&9；L0192.160rlBU 20*624i7P012.16B.1.Rr?.1icj.巳.15仁城猗匂4 20.7360 192-160.1. 8155,L9.11Prats cellTCPHTTP客户端发送M 报文并置发送序 号为XSYN=1 ACK=X+1 S«q

27、= Y服务端发送坦宓报文，并置 发送序号掏¥，在确 认序号为X十1客户端发送报文, 并置发送序号为乙 在确认序号为¥4!ACK=Y+1 勺铲 Z这图我都看过很多遍了，这次我们用wireshark实际分析下三次握手的过程。这样做的目的是为了得到与浏览器打开网站相关的数据包，将得到如下图| 审 j E3£pr«a.ClrTCP忡 n TimeGaurre58 20.6615100 DebndtiianI服努端客户端日Is Edit 0艸 a 匚解如旧StalKCts TiiloprorY Tqot Jr termt Heipi|/T| Ca

28、piur igc*LiLU睿址 Capturin g from Microsaft; 'DeMmXN PW9$59F ?2-l 5OHF4D-8067-DC 6l 681A4 旳口 >A； 0 hd r k 1.8,2 (5VN FL.= 四 1 亠目匕 &iir 型日岬i GhiIijir 萌屮（？ 怜宙怕、Tpphriny 工1 I、 t曰n粘日直 gdK 辺时 Qp Culture g炳更tat 就密 Telephav IQ幽p佗nn丸 yeti剽鏈嗓0秘丨鬣阖昌 条瞬寻番盘I叵QQ虫門I*回團轉丨回.155.19,11 TCP第一次握手丄 F

29、laqs： Dx002 KSYN3Checksum; Oxbae vdliddt 1<jn disabledcpxicns: (12 byzas), laKirrun segment sc, nj cpcctl r mop), wi ndew sell md oprtlcn <NCl l-ronsnisicn Cent -cl Protoccl * fr: Port: f oliacrp C2242J+ Dst =ort: kttp <301 * 5eq: 0* LenSource pert： fDllciCDri： 22"Cesfination port; htt

30、j; fBC)st rm&n 1ndax r2eqErics number: |l | (relarE sequence riLmaer Hsadtr 1 tngiFjes一 _ (<S?N；window sl2e Ai'J?! S192calcu)ited 讷n±w size: S1<>2Jrrirne E8：: 6 nytei on wire (52Z bi tsJ . 66 o/tes captur(&2& hits J on irTtarfico CiVi Ethernet 5rt: Frudrive_2;12 ;bF <

31、;OD;Of ;11: 26:1Z ;bf Csl ; HjavelDe_o5 ;bc ;c<j 匚開；沾；1茴5 ;bu -:rnarnel Prctocol Varslon 4. Src: C1Q2 4嗣":L £), Dst: <1 & (61.15 5.16(1.11'TCPL-r-elative sequence nunberl岸 iti7'1 ndev sizedLLJCalculatscl rtlaw size: 3192,checksun; OxGeb ali dat- on d

32、isabledC'pTlcnr: (12 byras MiKlmum sdcpient, Me-Optrinion (；NOP , wlndc)电 £匚Mo-OpsrNfiDin (MCIseq/ack analysisbrame *9： ee hyras on 训irm C528 hlr? b6 byr?« captusri 52呂 h气teJ on inrerface DEthernet II. Src: ruae'D«_G5;bc:c6 (5:a5:lb:65:oc;c6). Dst; Prodrnve_Z6;12:bf :Of:1L:2:1

33、2 【他占 ITifft PrcitCJUnT WhnnE, STU： E：L. J.5 5.1厉9. LIE61.：L55 , _&p ”5?. Mt： J_Ba.l_BB.J_. 8 Q_W.L68.1； -rensmissi匚口 antr口r Protocol t Src Pert: http (SO)! Ost Fort; fol iacorpseq; 4 Ack: 1,source parr: hit卩(3Q)Destinition port： foli oaarp (Z24JSrtirti incise : 5Sequence nimher : |_£jAcknc

34、iwl5dgrn=nT nunb=fre1aTly-± ack nutber：reader lentjtf： 22 bi/ta _第三次握手的数据包客户端再次发送确认包（ACK） SYN标志位为0,ACK标志位为1.并且把服务器发来 ACK的序号字段+1,放在确定字段中发送给对方并且在数据段放写ISN的+1,如下图:第二次握手的数据包服务器发回确认包，标志位为 SYN,ACK.将确认序号（Acknowledgement Number）设置为客户的I S N力口 1以.即0+1=1,如下图66 hfttp > folloccrp £初« ACK去申0 州54

35、fcliocorp > http ACK Seq"lLm i get /tank>J aa http/1.1E>.prtssiQ!n.« Civ a Ap jIji SaveFilter:No. TlrnoSource1§. 3DcstiridtiairiProtocol LfHg出 Info6111!55 1169.116 top60 fcl iocorp > http sj seq=0 wi n=fil*'60 2O.ai99ZO0-192.J5B=同 16 TOP61 2Q 62780192s.16Bb

36、1 361,155,169.116 HTTP Capturing from Microsoft: DeviceN PF JA9559F22- 5Q4-4F4O-8067- DC61681A9F9C CWiresharlc LA2 (SVN R.章 | Expreesidn.Lima广fipplyS.svetLpir ri t q 5Nn. TinsSourcennPrafniml Length Tn-n*逾 25 6GL5LD0 192167CP66 f oliocorp > IhttpSYNSeq-0Wi ri-SL!0)9 20. fil 973&C

37、1 .1 *i5.111 6192.1G8 1_冷7CP66 http > fol 1 peprpsrn.atk eq=0 A60 20, 6199200192,168,1,861.15 5.169.116TCP54 foliocarp > httpACK J5eq-lAck-1 ".：il 2C . ：2-5C 192. 163. _. S61.15 5.169.116HTTP943 5ET /tankKI30 HTTP/1.2Tnr| Capthringfrom Micruscfti DevtceN PF J A9559F72- 15O4-4F4D-8C&T- DC61&81A9FQC/r rkrark 1.E.