Wireshark安装下载及使用

Wireshark官网：https://www.wireshark.org

点击Download，

Windows点击 x64 就可以，其它系统根据自己电脑下载

 下载成功后，放到自定义目录下

 然后双击打开，一路下一步即可，安装时可以选择自定义目录安装。

 安装成功后，桌面是一个鲨鱼鳍的应用

 打开应用，可以看到如下页面。

其中我连接的是无线网，可以看到 WLAN那一行，有心电图一样的波浪，已经是在监控/抓取本电脑的数据了。

 双击 WLAN 进入应用主页，如下

虽然看着很乱(确实挺乱)，其实通过截图中的说明，还是能够大概了解不同区域的不同作用。

 数据包分层结构图解：

 

 下载后默认就是中文版的。

使用或者学习了解这个工具前，最好还是对网络OSI七层模型有一定的了解。

 

 

 常见的协议抓取：

ARP/ICMP/TCP/UDP/DNS/FTP/TFTP/HTTP/HTTPS/

过滤规则：

过滤器分为： “捕获过滤器” 和 “显示过滤器” 

 捕获过滤器示例：

通过端口捕获：port xxx

通过IP捕获：host 192.168.xxx.xx

通过协议捕获：tcp/udp/http等等

通过mac地址捕获：src 

通过组合捕获：host 192.168.xxx.xx && tcp

逻辑运算符：||或；&&与；！非

 

显示过滤器示例：

按ip地址过滤

过滤源ip为xx的包：ip.src==192.168.x.xx

过滤目标ip为xx的包：ip.dst==192.168.x.xx

过滤源或目标ip为xx的包：ip.addr==192.168.x.xx

 按mac地址过滤

过滤源MAC为xx的包：eth.src==00-E0-70-xx-xx-xx

过滤目标MAC为xx的包：eth.dst==00-E0-70-xx-xx-xx

过滤源或目标MAC为xx的包：eth.addr==00-E0-70-xx-xx-xx

 按端口号过滤

过滤tcp源端口为4694的包：tcp.srcport==4694

过滤tcp目标端口为4694的包：tcp.dstport==4694

过滤tcp源或目标端口为4694的包：tcp.port==4694

 按协议类型过滤

arp/dhcp/ftp/http/https

逻辑运算符：==；and；or；!=