wireshark使用教程入门,wireshark使用教程入门到精通

　　Wireshark是基于网络安全的数据包捕获工具。用户界面简洁明了，全新的本地化让用户使用起来更加方便快捷。但是，和一些开发者一样，这个软件是用来为新的通信协议纠错的。以及学生或正在学习网络开发的人，这个软件可以让你了解网络协议。Wireshark可以在第一时间检测网络通信数据，并且可以检测和捕获网络通信数据的快照，并以图表的形式浏览这些数据。

　　Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕获网络中的数据，为用户提供有关网络和上层协议的各种信息。你还在等什么？快来下载吧。

Wireshark使用教程

　　1.点击菜单栏红圈的选项3354，列出可以抓包的接口，其实就是网卡，然后会弹出抓包的接口对话框。以下是可以捕获数据包的接口。一般来说，如果你有几个网卡，你会列出几个。红圈里的包数不为零，就是你在用的网卡，所以用它来抓包。单击网卡背面的选项进行设置。

　　2.选择以太网作为链路层报头类型，并检查以混乱模式捕获数据包，将其余部分保留为默认值。然后点击开始抢包。这样，数据包捕获工具将开始运行，局域网中的网络活动将被捕获。下图显示了捕获的数据包的基本信息结构。

　　3.一般来说，包捕获是有针对性的，需要使用过滤功能过滤掉无用的包，以突出目标IP的包。

　　4.捕获有用的数据包后，您可以选择停止数据包捕获、分析现有数据包或重新捕获数据包。

一、抓取报文：

　　1.下载并安装Wireshark后，启动Wireshark并在接口列表中选择接口名称，然后开始在此接口上捕获数据包。例如，如果您想要获取无线网络上的流量，请点按无线接口。单击捕获选项配置高级属性，但现在没有必要。

　　2.点击接口名称后，可以看到实时收到的消息。Wireshark将捕获系统发送和接收的每条消息。如果捕获的接口是无线接口，并且选项是混合模式，您还会看到网络上的其他消息。

　　3.上面板每一行对应一条网络消息，默认显示的是消息接收时间(相对于捕获开始的时间点)、源和目标IP地址、使用协议和消息相关信息。单击一行，在以下两个窗口中查看更多信息。“”图标显示消息中每一层的详细信息。底部窗口列出了十六进制和ASCII码的消息内容。

　　当您需要停止捕获消息时，请单击左上角的停止按钮。

二、色彩标识

　　到目前为止，这些信息以绿色、蓝色和黑色显示。Wireshark通过颜色清楚地显示各种流量的消息。比如默认绿色是TCP报文，深蓝色是DNS，浅蓝色是UDP，黑色标识有问题的TCP报文——，比如乱序报文。

三、报文样本

　　例如，如果您在家里安装了Wireshark，但是在家庭局域网环境中没有有趣的消息可以观察，您可以到Wireshark wiki下载示例消息文件。

　　打开一个抓取文件非常简单。点击主界面上的打开，浏览文件。您也可以在Wireshark中保存自己的抓取文件，以后再打开。

四、过滤报文

　　如果您试图分析某个问题，例如在打电话时某个程序发送的消息，您可以关闭所有其他使用网络的应用程序以减少流量。但是，可能仍有大量邮件需要过滤，因此应该使用Wireshark过滤器。

　　最基本的方法是在窗口顶部的过滤栏中输入，然后单击应用(或按enter)。例如，如果您输入“dns”，您将只能看到DNS消息。进入时，Wireshark会帮助自动完成过滤条件。

　　您也可以单击“分析”菜单并选择“显示过滤器”来创建新的过滤条件。

　　另一个有趣的事情是，您可以右键单击消息并选择Follow TCP Stream。

　　您将看到服务器和目标之间的所有会话。

　　关闭窗口后，你会发现过滤条件被自动引用。——Wireshark显示组成会话的消息。

五、检查报文

　　选择邮件后，您可以深入了解其内容。

　　您也可以在这里创建过滤标准3354。只需右键单击详细信息，并使用应用为过滤器子菜单来创建基于此详细信息的过滤标准。

　　Wireshark是一个非常强大的工具。第一节只介绍它的基本用法。网络专家用它来调试网络协议实现细节、检查安全问题、网络协议的内部组件等等。

Wireshark使用技巧

　　1.确定Wireshark的位置。

　　如果你没有正确的位置，启动Wireshark后需要很长时间才能捕捉到一些与你无关的数据。

　　2.选择捕获接口。

　　通常，选择连接到互联网网络的接口，从而可以捕获与网络相关的数据。否则，其他捕获的数据对您没有帮助。

　　3.使用捕获过滤器

　　通过设置捕获过滤器，可以避免捕获文件过大。这样，用户在分析数据时就不会受到其他数据的干扰。而且，还能为用户节省大量时间。

　　4.使用显示过滤器

　　通常情况下，捕获过滤器过滤的数据仍然非常复杂。为了使过滤后的数据包更加详细，此时使用显示过滤器进行过滤。

　　5.使用着色规则

　　通常，由显示过滤器过滤的数据是有用的数据包。如果您想要突出显示某个对话，您可以使用着色规则来突出显示它。

　　6.构建图表

　　如果用户想更清楚地看到一个网络中数据的变化，用图表的形式显示数据的分布是很方便的。

　　7.重组数据

　　Wireshark的重组功能可以重组一个会话中不同数据包的信息，也可以重组一个完整的图片或文件。因为传输的文件通常很大，所以信息分布在多个数据包中。为了查看整个图片或文件，有必要使用重新组织数据的方法。

Wireshark字体设置：

　　注意：如果选择中文，请选择合适的字体，在编辑-首选项设置-用户界面-字体中设置！

Wireshark语言设置：

　　1.首先，双击软件进入主界面。如果桌面没有软件，可以在软件的安装文件夹里找！

　　2.打开下图所示的软件值，显示的界面全是英文。

　　3.请用鼠标点击顶部的编辑选项卡，找到底部的首选项按钮！

　　4.这样我们就可以进入软件的设置界面了。打开后，如下图所示，我们可以看到此时语言显示为英文！

　　5.点击语言栏将其更改为中文选项！

　　6.如果你的电脑系统是中文的，可以设置为“使用系统设置”！

　　7.设置成功后，点击确定保存。这时候你可以看到界面的语言变成了中文版！

Wireshark

常见问题

　　1.什么设备可以1。Wireshark用于捕获数据包？

　　答：Wireshark可以读取以太网、令牌环、FDDI、串口(PPP和SLIP)(如果其操作系统允许Wireshark这么做)、802.11 WLAN(如果其操作系统允许Wireshark这么做)、ATM连接(如果其操作系统允许Wireshark这么做)、最新版本的libpcap在

　　2.我安装了Wireshark RPM(或者其他软件包)；为什么要安装TShark而不是Wireshark？

　　答：许多发行版都有单独的Wireshark软件包，一个用于非GUI组件，如TShark、editcap、dumpcap等。另一个用于GUI。如果您的系统出现这种情况，可能有一个名为wireshark-qt的独立软件包。找到并安装它。

　　3.当我尝试运行Wireshark时，为什么会抱怨sprint_realloc_objid未定义？

　　答：Wireshark只能与UCD SNMP版本4.2.2或更高版本链接。您的Wireshark版本与此版本的UCD SNMP动态链接；但是，您安装了旧版本的UCD SNMP，这意味着当您运行Wireshark时，它将尝试链接到旧版本并失败。您必须用版本4.2.2或更高版本替换此版本的UCD SNMP。

　　4.我的机器上有一个XXX网卡；如果我尝试捕获它，为什么我的机器会崩溃或自行复位？

　　答：这几乎肯定是一个或多个问题：

　　您正在使用的操作系统；

　　您正在使用的接口的设备驱动程序；

　　Libpcap/WinPcap库，或者WinPcap设备驱动程序(如果是Windows的话)；

　　所以：

　　如果您使用的是Windows，请参考WinPcap支持页面-检查“提交错误”部分；

　　如果您正在使用一些Linux发行版、一些BSD版本或一些其他UNIX风格的操作系统，您应该向生成该操作系统的公司或组织报告该问题(如果是Linux发行版，请向任何生产者发行版报告该问题)。

　　5.5的使用。Wireshark(抓取袋、过滤器)

　　Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕获网络中的数据，为用户提供有关网络和上层协议的各种信息。像许多其他网络工具一样，Wireshark使用pcap网络库来捕获数据包。

　　6.Wireshark和winpcap哪个更好用？有什么区别？

　　WinPcap是一组用于捕获网络数据包的工具，可用于在32位操作平台上解析网络数据包。它包括核心包过滤、底层动态链接库、高层系统函数库和可用于直接访问数据包的应用程序接口。