wireshark抓包简明教程

1、找到需要抓包的接口

打开wireshark软件,找到相应的网络接口,可能存在多个连接,此时双击某个网络连接看起IP地址,如与上张图的地址一样,即要查看的接口。

wireshark抓包简明教程

wireshark抓包简明教程

点击ok回到之前窗口,选中接口,点击Start开始抓包。

2、wireshark窗口说明

wireshark抓包简明教程

窗口1是包列表,可以看到每个包的源、目的地址、协议类型、长度和信息等。

窗口2是点选某条包的详细信息,详细给出该包的mac层、IP层、传输层和应用层信息。

窗口3是包内容的文本信息及字节信息。

窗口4是过滤窗口,可以过滤出需要的内容。

3、过滤窗口的使用

3.1 按协议过滤

在过滤窗口内输入协议类型,回车(或点apply),可过滤对应类型的包。若不许要过滤,再点clear清除过滤条件即可。下图以http为例。

wireshark抓包简明教程

3.2 按地址过滤

ip.addr:源或者目的地址过滤

ip.src:源地址过滤

ip.dst:目的地址过滤

wireshark抓包简明教程

可以在过滤窗口直接输入,也可点击Expression,可以看到所有过滤条件列表,选择需要的过滤条件即可。

wireshark抓包简明教程

3.3 按tcp或udp端口过滤

以tcp源端口80为例,如下图所示。

wireshark抓包简明教程

3.4 过滤条件组合

与:&&

或:||

举例,要查看百度或网易发过来的http消息。用ping或nslookup查看百度地址为111.13.100.92,网易地址为112.25.35.62,按下面的图进行过滤。

wireshark抓包简明教程