Wireshark入门与进阶---数据包捕获与保存的最基本流程

标签: wireshark 数据包 | 发表时间:2014-11-04 05:58 | 作者:Ping_Fani07
出处:http://blog.csdn.net

Wireshark入门与进阶系列(一)

本文由CSDN- 蚍蜉撼青松 【主页: http://blog.csdn.net/howeverpf】原创,转载请注明出处!


       你在百度上输入关键字“Wireshark、使用、教程”,可以找到一大堆相关的资料。那么问题来了,

为什么我还要写这个系列的文章?


       前面你能搜到的那些资料,大部分可能存在两个小问题:

  1. 网上大部分资料引自(or译自)Wireshark官方的用户手册,或使用类似于用户手册的写法,它们很详细的告诉你Wireshark有哪些窗口、菜单、选项,这些窗口、菜单、选项可以完成什么功能。这对于一个已有基本的使用经验,遇到了疑难杂症需要查询解决的人可能是有效的;对于一个虽无使用经验,但空闲时间很多,出于兴趣想全面了解这个工具的人也是合适的;可是对于那些没用用过Wireshark,不求全解,只是因为某种需求,想要快速使用Wireshark完成某个任务的小菜们,肯定是不合适的。
  2. 网上大部分资料都有些年头了,因为客观因素制约,大部分资料对应的Wireshark版本止步于1.08.x。而当前Wireshark的测试版已经更新到1.99.0,稳定版也已经更新到1.12.1(连我这种习惯慢半拍的人使用的都已经是1.10.0……)资料已经有了一丢丢的滞后性。
       That's why I write these articles. 基于第一点,本系列文章采用“问题/需求-->流程/步骤-->附注/说明”的形式书写;基于第二点,本系列文章文默认使用的Wireshark版本是1.10.0rc2(下图1是该版本启动后会首先出现的引导界面)。

一、使用Wireshark进行抓包的最基本流程

       有些时候,我们只需要用Wireshark简单的捕获一些数据包看看当前的网络运行情况或是本机通信情况,对数据包的类型和内容并没有一个预期的明确要求,这种情况下,流程很简单:
“启动软件-->选定网卡(网络接口卡的俗称,一般也简称为接口,即Interface)并开始抓包-->停止抓包-->数据包保存”

1.1 启动软件

       与老版Wireshark启动后直接进入主界面不同,1.8.x版本开始,软件启动后首先出现的是下图所示的引导界面。该界面中包含了Wireshark几大最常用功能的快捷按钮,分为Capture、Capture Help、Files、Online四大部分。

Guide Window
图1-1 新版Wireshark引导界面


1.2 选定网卡并开始抓包

       本篇暂时只关注实时数据包捕获,所以我们把目光聚焦到前 图1-1左上角的“Capture”部分,如下:

Capture

图1-2 新版Wireshark引导界面中与数据包实时捕获相关的部分

       该部分存在三个快捷按钮,分别是:Interface List(网卡详细信息列表)、Start(开始抓包),以及Capture Options(捕获选项)。其中“Start”按钮下方是一个简要的网卡列表。当我们在自己的PC上使用Wireshark时,一般我们都对PC上各个网卡的运行情况比较清楚。比如我现在没有插网线,使用的是室友共享出来的WiFi,那正在通信的肯定就只有无线网卡。所以我要抓包,就要先点选 图1-2中“Start”按钮下方的“无线网络连接”(若需复选,使用Ctrl键)【中下方黑色方框标注】,然后点击“Start”按钮【中上方黑色椭圆框标注】,Wireshark就开始抓包了。

       有些时候我们可能不是很清楚主机上的网卡运行情况,这个时候就需要先点击 图1-2中的“Interface List”按钮,弹出如下的网卡详细信息列表,

Interface List

图1-3 网卡详细信息列表


       上图中可以直观地看到各个网卡的上下行数据包计数【右上方黑色圆角方框标注】,根据这一信息,我们可以很明显看出当前只有“无线网络连接”在通信,因此勾选该网卡前面的复选框【左上方靛青色椭圆框标注】,然后点击“Start”按钮【中下方黑色椭圆框标注】,Wireshark也就开始抓包了。


1.3 停止抓包

       想抓的数据包抓完了,就要让Wireshark停下来。停止抓包有三种基本的方式,

  1. 使用Ctrl+E组合键
  2. 菜单栏:依次点击"Capture"-->"Stop"【 图1-4所示】
  3. 工具栏:点击 【第四个方形的按钮, 图1-5中黑色椭圆框标注】

菜单栏Capture

图1-4 Capture菜单

工具栏

图1-5 工具栏


1.4 数据包保存

       完成数据包的捕获后,可能我们并不急着马上做分析,或者说当前能做的分析还不够完整,需要后面来加深……如此种种,我们需要用文件保存这些数据包。

      保存数据包也有三种方式,

  1. 使用Ctrl+S组合键;
  2. 菜单栏:依次点击"File"-->"Save"
  3. 工具栏:点击 【第7个按钮, 图1-5中黑色圆角方框标注】

       而后弹出如下的窗口,


图1-6 Wireshark支持的数据包存储格式

       新版Wireshark存储数据包的时候支持很多格式【 图1-6中黑色圆角方框标注】。可以看到,默认使用的保存类型是pcapng,这可能是一个优点很多的格式,但出于兼容性的考虑,我还是建议你在存包的时候把存储格式设置为第二个选项【 图1-6的黑色圆角方框中着色标注】。这主要是因为pcapng还是一个新玩意,支持他的软件还不够多。

       有时候,我们捕获的数据包不止是自己看,还要给同伴分析,如果你的同伴使用的是1.8.x以前的Wireshark版本或者其它他更顺手的工具,那么在业界获得广泛支持的pcap格式一定能为你们的沟通架起快捷的大桥。

       保存数据包时,左下角还有一个选项“Compress with gzip”【 图1-6中黑色椭圆框标注】,如果你勾选了这个选项,那么会对保存的文件再进行gzip压缩。一般保存数据包的时候都不需要特别勾选这个选项,因为数据包少的时候根本没压缩的必要,数据包多的时候也完全可以保存了文件之后,自己再用压缩软件打包。

       至此,最基本的抓包流程就算是介绍完了,本文到此结束,下篇文章将会介绍Capture Options各项的含义与设置,欢迎继续关注!



------本文由CSDN-蚍蜉撼青松【主页: http://blog.csdn.net/howeverpf】原创,转载请注明出处!------


作者:Ping_Fani07 发表于2014-11-3 21:58:34 原文链接
阅读:79 评论:0 查看评论

相关 [wireshark 数据包] 推荐:

Wireshark抓包工具--TCP数据包seq ack等解读

- - CSDN博客互联网推荐文章
1、Wireshark的数据包详情窗口,如果是用中括号[]括起来的,表示注释,在数据包中不占字节. 2、在二进制窗口中,如“DD 3D”,表示两个字节,一个字节8位. 3、TCP数据包中,seq表示这个包的序号,注意,这个序号不是按1递增的,而是按tcp包内数据字节长度加上,如包内数据是21字节,而当前IP1发到IP2的包的seq是10的话,那下个IP1发到IP2的包的seq就是10+21=31.

Wireshark抓包工具--TCP数据包seq ack等解读

- - 研发管理 - ITeye博客
1、Wireshark的数据包详情窗口,如果是用中括号[]括起来的,表示注释,在数据包中不占字节. 2、在二进制窗口中,如“DD 3D”,表示两个字节,一个字节8位. 3、TCP数据包中,seq表示这个包的序号,注意,这个序号不是按1递增的,而是按tcp包内数据字节长度加上,如包内数据是21字节,而当前IP1发到IP2的包的seq是10的话,那下个IP1发到IP2的包的seq就是10+21=31.

Wireshark入门与进阶---数据包捕获与保存的最基本流程

- - CSDN博客互联网推荐文章
Wireshark入门与进阶系列(一). 蚍蜉撼青松 【主页: http://blog.csdn.net/howeverpf】原创,转载请注明出处.        你在百度上输入关键字“Wireshark、使用、教程”,可以找到一大堆相关的资料. 为什么我还要写这个系列的文章.        前面你能搜到的那些资料,大部分可能存在两个小问题:.

利用WireShark对听音乐的过程中传送的数据包进行分析

- - FreeBuf.COM | 关注黑客与极客
相信现在的每一个人都在网络上听过音乐,那么,在我们听音乐的过程中,究竟发生了什么呢. 下面我就利用 WireShark 给大家分析一下. 打开wireshark,选择本地连接进行监听. 之后,打开一个音乐软件,随便点击一首歌曲,然后播放这首歌曲. 等待音乐播放了十几秒之后,停止wireshark的监听,现在wireshark已经监听到许多的数据包了,如下图.

wireshark过滤规则

- - CSDN博客推荐文章
WireShark 过滤 语法  . 过 滤 IP,如来源IP或者目标IP等于某个IP. ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP. tcp.port eq 80 // 不管端口是来源的还是目标的都显示. tcp.dstport == 80 // 只显tcp协议的目标端口80.

Wireshark 入门详解

- - 运维生存时间
一、 background 二、 how it works 三、包抓取方式 四、 filter in Wireshark.   Capture filter例子. 抓取所有本主机发送的报文,本机为2.2.2.2. 抓取与主机1.1.1.1.的1033端口的所有通信. 五、 Wireshark的安装 六、 Wireshark的实用功能.

wireshark使用教程

- - 互联网 - ITeye博客
 wireshark是一款抓包软件,比较易用,在平常可以利用它抓包,分析协议或者监控网络,是一个比较好的工具,因为最近在研究这个,所以就写一下教程,方便大家学习.        这里先说Wireshark的启动界面和抓包界面.        启动界面:. 这个是网卡的显示,因为我有虚拟机所以会显示虚拟网卡,我们现在抓的是真实网卡上的包所以在以太网卡右边点击start 开始抓包.

Wireshark 抓远程主机的包

- - 依云's Blog
本文来自 依云's Blog,转载请注明. 通常,我在本地用图形界面的 Wireshark 来抓包及解析,而对于远程服务器,因为没有图形界面,只好使用 tcpdump 抓包到文件然后复制到本地拿 Wireshark 看了,这样就不能实时查看抓到的包了. 当然 tcpdump 也可以实时输出,但是信息太少、难以阅读,功能也过于简单,比如我要跟踪流啊、不同的流用不同的颜色高亮啊、添加注释啊、时序分析啊,tcpdump 完全没办法做到.

Wireshark 过滤器语法 - 粪球

- - 博客园_首页
 wireshark有两种过滤器:.  捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中. 显示过滤器(DisplayFilters):用于在捕捉结果中进行详细查找. 捕捉过滤器 (此过滤器不需要比较运算符,查询关键字请全部小写). 捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件.

使用 Wireshark 调试 HTTP/2 流量

- - JerryQu 的小站
我们知道,HTTP/2 引入了二进制分帧层(Binary Framing),将每个请求和响应分割成为更小的帧,并对它们进行了二进制编码. 与此同时,HTTP/2 沿用了之前 HTTP 版本中的绝大部分语义,上层应用基本上感知不到 HTTP/2 的存在,这一点可以通过浏览器的网络调试工具得到验证. 以下是使用 Chrome 访问 HTTP/2 网站的截图,网络面板中显示的内容与 HTTP/1 网站相比,只有一些细微的区别(头部字段都是小写,多了一些冒号开头的头部等).