超詳細的 Wireshark 使用教程

一、wireshark 是什麼？

wireshark 是非常流行的網絡封包分析軟件，簡稱小鯊魚，功能十分強大。可以截取各種網絡封包，顯示網絡封包的詳細信息。

wireshark 是開源軟件，可以放心使用。可以運行在 Windows 和 Mac OS 上。對應的，linux 下的抓包工具是 tcpdump。使用 wireshark 的人必須瞭解網絡協議，否則就看不懂 wireshark 了。

二、Wireshark 常用應用場景

1. 網絡管理員會使用 wireshark 來檢查網絡問題

2. 軟件測試工程師使用 wireshark 抓包，來分析自己測試的軟件

3. 從事 socket 編程的工程師會用 wireshark 來調試

4. 運維人員用於日常工作，應急響應等等

總之跟網絡相關的東西，都可能會用到 wireshark

三、Wireshark 抓包原理

Wireshark 使用 WinPCAP 作爲接口，直接與網卡進行數據報文交換。

Wireshark 使用的環境大致分爲兩種，一種是電腦直連網絡的單機環境，另外一種就是應用比較多的網絡環境，即連接交換機的情況。

「單機情況」下，Wireshark 直接抓取本機網卡的網絡流量；

「交換機情況」下，Wireshark 通過端口鏡像、ARP 欺騙等方式獲取局域網中的網絡流量。

端口鏡像：利用交換機的接口，將局域網的網絡流量轉發到指定電腦的網卡上。

ARP 欺騙：交換機根據 MAC 地址轉發數據，僞裝其他終端的 MAC 地址，從而獲取局域網的網絡流量。

四、Wireshark 軟件安裝

軟件下載路徑：

https://www.wireshark.org/

按照系統版本選擇下載，下載完成後，按照軟件提示一路 Next 安裝。

五、Wireshark 抓包示例

先介紹一個使用 wireshark 工具抓取 ping 命令操作的示例，可以上手操作感受一下抓包的具體過程。

1、打開 wireshark，主界面如下：

2、選擇菜單欄上 捕獲 -> 選項，勾選 WLAN 網卡。這裏需要根據各自電腦網卡使用情況選擇，簡單的辦法可以看使用的 IP 對應的網卡。點擊 Start，啓動抓包。

3、wireshark 啓動後，wireshark 處於抓包狀態中。

4、執行需要抓包的操作，如在 cmd 窗口下執行 ping www.baidu.com。

5、操作完成後相關數據包就抓取到了，可以點擊 停止捕獲分組 按鈕。

6、爲避免其他無用的數據包影響分析，可以通過在過濾欄設置過濾條件進行數據包列表過濾，獲取結果如下。說明：ip.addr == 183.232.231.172 and icmp 表示只顯示 ICPM 協議且主機 IP 爲 183.232.231.172 的數據包。說明：協議名稱 icmp 要小寫。

7、wireshark 抓包完成，並把本次抓包或者分析的結果進行保存，就這麼簡單。關於 wireshark 顯示過濾條件、抓包過濾條件、以及如何查看數據包中的詳細內容在後面介紹。

六、Wireshakr 抓包界面介紹

Wireshark 的主界面包含 6 個部分：

菜單欄：用於調試、配置

工具欄：常用功能的快捷方式

過濾欄：指定過濾條件，過濾數據包

數據包列表：核心區域，每一行就是一個數據包

數據包詳情：數據包的詳細數據

數據包字節：數據包對應的字節流，二進制

說明：數據包列表區中不同的協議使用了不同的顏色區分。協議顏色標識定位在菜單欄 視圖 --> 着色規則。如下所示

WireShark 主要分爲這幾個界面

1. Display Filter(顯示過濾器)

用於設置過濾條件進行數據包列表過濾。菜單路徑：分析 --> Display Filters。

2. Packet List Pane(數據包列表)

顯示捕獲到的數據包，每個數據包包含編號，時間戳，源地址，目標地址，協議，長度，以及數據包信息。不同協議的數據包使用了不同的顏色區分顯示。

3. Packet Details Pane(數據包詳細信息)

在數據包列表中選擇指定數據包，在數據包詳細信息中會顯示數據包的所有詳細信息內容。數據包詳細信息面板是最重要的，用來查看協議中的每一個字段。各行信息分別爲

（1）Frame:   物理層的數據幀概況

（2）Ethernet II: 數據鏈路層以太網幀頭部信息

（3）Internet Protocol Version 4: 互聯網層 IP 包頭部信息

（4）Transmission Control Protocol:  傳輸層 T 的數據段頭部信息，此處是 TCP

（5）Hypertext Transfer Protocol:  應用層的信息，此處是 HTTP 協議

TCP 包的具體內容

從下圖可以看到 wireshark 捕獲到的 TCP 包中的每個字段。

4. Dissector Pane(數據包字節區)

報文原始內容。

七、Wireshark 過濾器設置

初學者使用 wireshark 時，將會得到大量的冗餘數據包列表，以至於很難找到自己需要抓取的數據包部分。wireshark 工具中自帶了兩種類型的過濾器，學會使用這兩種過濾器會幫助我們在大量的數據中迅速找到我們需要的信息。

1. 抓包過濾器

捕獲過濾器的菜單欄路徑爲 捕獲 --> 捕獲過濾器。用於在抓取數據包前設置。

如何使用呢？設置如下。

ip host 183.232.231.172 表示只捕獲主機 IP 爲 183.232.231.172 的數據包。獲取結果如下：

2. 顯示過濾器

顯示過濾器是用於在抓取數據包後設置過濾條件進行過濾數據包。

通常是在抓取數據包時設置條件相對寬泛或者沒有設置導致抓取的數據包內容較多時使用顯示過濾器設置條件過濾以方便分析。

同樣上述場景，在捕獲時未設置抓包過濾規則直接通過網卡進行抓取所有數據包。

執行 ping www.baidu.com 獲取的數據包列表如下

觀察上述獲取的數據包列表，含有大量的無效數據。這時可以通過設置顯示器過濾條件進行提取分析信息。ip.addr == 183.232.231.172，並進行過濾。

上述介紹了抓包過濾器和顯示過濾器的基本使用方法。在組網不復雜或者流量不大情況下，使用顯示器過濾器進行抓包後處理就可以滿足我們使用。下面介紹一下兩者間的語法以及它們的區別。

八、wireshark 過濾器表達式的規則

1. 抓包過濾器語法和實例

抓包過濾器類型 Type（host、net、port）、方向 Dir（src、dst）、協議 Proto（ether、ip、tcp、udp、http、icmp、ftp 等）、邏輯運算符（&& 與、|| 或、！非）

（1）協議過濾

比較簡單，直接在抓包過濾框中直接輸入協議名即可。

tcp，只顯示 TCP 協議的數據包列表

http，只查看 HTTP 協議的數據包列表

icmp，只顯示 ICMP 協議的數據包列表

（2）IP 過濾

host 192.168.1.104

src host 192.168.1.104

dst host 192.168.1.104

（3）端口過濾

port 80

src port 80

dst port 80

（4）邏輯運算符 && 與、|| 或、！非

src host 192.168.1.104 &&dst port 80 抓取主機地址爲 192.168.1.80、目的端口爲 80 的數據包

host 192.168.1.104 || host 192.168.1.102 抓取主機爲 192.168.1.104 或者 192.168.1.102 的數據包

！broadcast 不抓取廣播數據包

2. 顯示過濾器語法和實例

（1）比較操作符

比較操作符有

== 等於、！= 不等於、> 大於、<小於、>= 大於等於、<= 小於等於

（2）協議過濾

比較簡單，直接在 Filter 框中直接輸入協議名即可。注意：協議名稱需要輸入小寫。

tcp，只顯示 TCP 協議的數據包列表

http，只查看 HTTP 協議的數據包列表

icmp，只顯示 ICMP 協議的數據包列表

（3） ip 過濾

ip.src ==112.53.42.42 顯示源地址爲 112.53.42.42 的數據包列表

ip.dst==112.53.42.42, 顯示目標地址爲 112.53.42.42 的數據包列表

ip.addr == 112.53.42.42 顯示源 IP 地址或目標 IP 地址爲 112.53.42.42 的數據包列表

（4）端口過濾

tcp.port ==80,  顯示源主機或者目的主機端口爲 80 的數據包列表。

tcp.srcport == 80,  只顯示 TCP 協議的源主機端口爲 80 的數據包列表。

tcp.dstport == 80，只顯示 TCP 協議的目的主機端口爲 80 的數據包列表。

（5） http 模式過濾

http.request.method=="GET",   只顯示 HTTP GET 方法的。

（6）邏輯運算符爲 and/or/not

過濾多個條件組合時，使用 and/or。比如獲取 IP 地址爲 192.168.0.104 的 ICMP 數據包表達式爲 ip.addr == 192.168.0.104 and icmp

（7）按照數據包內容過濾

假設我要以 ICMP 層中的內容進行過濾，可以單擊選中界面中的碼流，在下方進行選中數據。

右鍵單擊選中後出現如下界面

選中後在過濾器中顯示如下

後面條件表達式就需要自己填寫。如下我想過濾出 data 數據包中包含 "abcd" 內容的數據流。關鍵詞是 contains，完整條件表達式爲 data contains "abcd"

看到這， 基本上對 wireshak 有了初步瞭解。

3. 常見用顯示過濾需求及其對應表達式

數據鏈路層：

篩選 mac 地址爲 04:f9:38:ad:13:26 的數據包

eth.src == 04:f9:38:ad:13:26

篩選源 mac 地址爲 04:f9:38:ad:13:26 的數據包 ----

eth.src == 04:f9:38:ad:13:26

網絡層：

篩選 ip 地址爲 192.168.1.1 的數據包

ip.addr == 192.168.1.1

篩選 192.168.1.0 網段的數據

ip contains "192.168.1"

傳輸層：

篩選端口爲 80 的數據包

tcp.port == 80

篩選 12345 端口和 80 端口之間的數據包

tcp.port == 12345 &&tcp.port == 80

篩選從 12345 端口到 80 端口的數據包

tcp.srcport == 12345 &&tcp.dstport == 80

應用層：

特別說明: http 中 http.request 表示請求頭中的第一行（如 GET index.jsp HTTP/1.1） http.response 表示響應頭中的第一行（如 HTTP/1.1 200 OK），其他頭部都用 http.header_name 形式。

篩選 url 中包含. php 的 http 數據包

http.request.uri contains ".php"

篩選內容包含 username 的 http 數據包

http contains "username"

九、Wireshark 抓包分析 TCP 三次握手

1. TCP 三次握手連接建立過程

Step1：客戶端發送一個 SYN=1，ACK=0 標誌的數據包給服務端，請求進行連接，這是第一次握手；

Step2：服務端收到請求並且允許連接的話，就會發送一個 SYN=1，ACK=1 標誌的數據包給發送端，告訴它，可以通訊了，並且讓客戶端發送一個確認數據包，這是第二次握手；

Step3：服務端發送一個 SYN=0，ACK=1 的數據包給客戶端端，告訴它連接已被確認，這就是第三次握手。TCP 連接建立，開始通訊。

2. Wireshark 抓包獲取訪問指定服務端數據包

Step1：啓動 wireshark 抓包，打開瀏覽器輸入 www.baidu.com。

Step2：使用 ping www.baidu.com 獲取 IP。

Step3：輸入過濾條件獲取待分析數據包列表 ip.addr == 183.232.231.172

圖中可以看到 wireshark 截獲到了三次握手的三個數據包。第四個包纔是 HTTPS 的， 這說明 HTTPS 的確是使用 TCP 建立連接的。

第一次握手數據包

客戶端發送一個 TCP，標誌位爲 SYN，序列號爲 0， 代表客戶端請求建立連接。

數據包的關鍵屬性如下：

SYN ：標誌位，表示請求建立連接

Seq = 0 ：初始建立連接值爲 0，數據包的相對序列號從 0 開始，表示當前還沒有發送數據

Ack =0：初始建立連接值爲 0，已經收到包的數量，表示當前沒有接收到數據

第二次握手的數據包

服務器發回確認包, 標誌位爲 SYN，ACK。將確認序號 (Acknowledgement Number) 字段 +1，即 0+1=1。

數據包的關鍵屬性如下：

[SYN + ACK]: 標誌位，同意建立連接，並回送 SYN+ACK

Seq = 0 ：初始建立值爲 0，表示當前還沒有發送數據

Ack = 1：表示當前端成功接收的數據位數，雖然客戶端沒有發送任何有效數據，確認號還是被加 1，因爲包含 SYN 或 FIN 標誌位。（並不會對有效數據的計數產生影響，因爲含有 SYN 或 FIN 標誌位的包並不攜帶有效數據）

第三次握手的數據包

客戶端再次發送確認包 (ACK) SYN 標誌位爲 0，ACK 標誌位爲 1。並且把服務器發來 ACK 的序號字段 + 1，放在確定字段中發送給對方，並且在 Flag 段寫 ACK 的 + 1：

數據包的關鍵屬性如下：

ACK ：標誌位，表示已經收到記錄

Seq = 1 ：表示當前已經發送 1 個數據

Ack = 1 : 表示當前端成功接收的數據位數，雖然服務端沒有發送任何有效數據，確認號還是被加 1，因爲包含 SYN 或 FIN 標誌位（並不會對有效數據的計數產生影響，因爲含有 SYN 或 FIN 標誌位的包並不攜帶有效數據)。

就這樣通過了 TCP 三次握手，建立了連接。開始進行數據交互

十、Wireshark 分析常用操作

調整數據包列表中時間戳顯示格式。調整方法爲 視圖 --> 時間顯示格式 --> 日期和時間。調整後格式如下：

一般 Wireshark 軟件也可以與各主流廠家的模擬器一起使用，更適合於項目準確配置。

本文由 Readfog 進行 AMP 轉碼，版權歸原作者所有。
來源：https://mp.weixin.qq.com/s/_-7GQuHZ3m_0OqX9uttKnw