这段时间用wireshark比较多,所以想顺便给大家写个简单的wireshark教程出来,因为wireshark的入门抓包比较简单,选择网卡,然后直接start就开始抓包了,不需要做什么修改,但是如果想要灵活的运用wireshark转包就需要对wireshark很多选项都要了解。

因为选项比较多,但真正实用且用的比较多的功能就那几个,所以我把这些功能总结出来,以供新手能够快速上手。

首先来个初步的思维导向图

wireshark抓包教程

两步抓包

选择当前正在使用的网卡,然后直接点击start抓包

wireshark抓包教程

 

标记序包

点击mark packet即可标记,取消标记则是取消标记。功能:方便找到需要的包,另外导出的时候可以选择只导出标记的包。

 

wireshark抓包教程

 

导出指定序包

导出包

wireshark抓包教程

可以选择所有包,或者当前选择的包、已经标记的包或者标记包之间的包,这个功能在导出指定包的时候非常实用

wireshark抓包教程

 

首选项中需要用到的

首选项位置:file - preference

“打开文件”位置记忆选项,如果选择remember last directory则是打开上次位置,会经常变,不过我们一般会把抓的包放到同一个目录方便管理,这里可以选择always start in 来指定每次打开固定文件夹。

wireshark抓包教程

 

界面调整

wireshark抓包教程

 

这个很容易理解,可以调整抓包页面的布置,这根据个人喜好,不过以经验来说还是默认的最好用。

wireshark抓包教程

 

抓包选项

调整包的大小或抓包时间来保存,这个功能在局域网流量比较大的时候特别实用,因为流量大的时候,会抓到大量的包,很容易导致软件假死,以至于抓的包丢失。

使用这个选项可以控制每积累几M的文件就自动保存,或者每多少分钟自动保存,很实用的功能。

wireshark抓包教程

 

抓包界面显示调节(重要)

如图这几个选项非常重要:

wireshark抓包教程

第一和第二个:默认勾选,转包的时候前端滚动显示抓包详情,如果大流量情况下可以关掉节省资源防止卡死。

第三个默认勾选,默认隐藏转包协议比例显示,但是比较耗费资源,流量大的时候建议关闭。

wireshark抓包教程

 

第四个:默认勾选,自动将MAC地址转化成易识别设备名。

第五、六个:默认不勾选,如果勾选,将自动将重要IP地址转化成域名,方便识别,如图:

wireshark抓包教程过滤器设置

过滤器分为两种:一种为抓包过滤器,另一种为显示过滤器

区别

抓包过滤器在抓包过程中,不符合这个规则的包则不抓取;而显示过滤器则,在抓包过程中默认全部抓取,在抓取结果中用显示过滤器筛选出想要的结果,两者功能截然不同,而且非常重要。一般在流量比较大的环境需要使用抓包过滤来抓取重要的包,减小软件压力,否则容易卡死。

抓包过滤器

抓包过滤器设置地方如下图:

wireshark抓包教程

wireshark抓包教程

wireshark抓包教程

如下图,即使我过滤了只要80端口的包,抓到的包也是显示100%

wireshark抓包教程

 显示过滤器

如图:

wireshark抓包教程 wireshark抓包教程