Wireshark是一款功能強(qiáng)大的網(wǎng)絡(luò)協(xié)議檢測(cè)程序。本程序功能強(qiáng)大完全免費(fèi)，讓您借由本程序抓取運(yùn)行的網(wǎng)站的相關(guān)資訊，包括每一封包流向及其內(nèi)容、資訊可依操作系統(tǒng)語(yǔ)系看出，方便查看、監(jiān)控TCP session動(dòng)態(tài)等等。網(wǎng)絡(luò)管理員可以使用它檢測(cè)網(wǎng)絡(luò)問(wèn)題，網(wǎng)絡(luò)安全工程師可以使用它來(lái)檢查資訊安全相關(guān)問(wèn)題，開(kāi)發(fā)者使用它來(lái)為新的通訊協(xié)定除錯(cuò)，普通使用者使用它來(lái)學(xué)習(xí)網(wǎng)絡(luò)協(xié)定的相關(guān)知識(shí)。Wireshark不是入侵偵測(cè)系統(tǒng)（Intrusion Detection System,IDS）。對(duì)于網(wǎng)絡(luò)上的異常流量行為，軟件不會(huì)產(chǎn)生警示或是任何提示。然而，仔細(xì)分析軟件擷取的封包能夠幫助使用者對(duì)于網(wǎng)絡(luò)行為有更清楚的了解。也不會(huì)對(duì)網(wǎng)絡(luò)封包產(chǎn)生內(nèi)容的修改，它只會(huì)反映出目前流通的封包資訊。 而它本身也不會(huì)送出封包至網(wǎng)絡(luò)上。

【操作技巧】

　　1、菜單用于開(kāi)始操作。

　　2、主工具欄提供快速訪問(wèn)菜單中經(jīng)常用到的項(xiàng)目的功能。

　　3、Fiter toolbar/過(guò)濾工具欄提供處理當(dāng)前顯示過(guò)濾得方法。

　　4、Packet List面板顯示打開(kāi)文件的每個(gè)包的摘要。點(diǎn)擊面板中的單獨(dú)條目，包的其他情況將會(huì)顯示在另外兩個(gè)面板中。

　　5、Packet detail面板顯示您在Packet list面板中選擇的包德更多詳情。

　　6、Packet bytes面板顯示您在Packet list面板選擇的包的數(shù)據(jù)，以及在Packet details面板高亮顯示的字段。

　　7、狀態(tài)欄顯示當(dāng)前程序狀態(tài)以及捕捉數(shù)據(jù)的更多詳情。

【怎么抓包】

　　1、設(shè)置捕獲接口

　　2、數(shù)據(jù)包的保存

　　Wireshark完成數(shù)據(jù)包的捕獲后，可能我們并不急著馬上做分析，或者說(shuō)當(dāng)前能做的分析還不夠完整，需要后面來(lái)加深……如此種種，我們需要用文件保存這些數(shù)據(jù)包。保存數(shù)據(jù)包也有三種方式，

　　1、使用Ctrl+S組合鍵；

　　2、菜單欄：依次點(diǎn)擊"File"-->"Save"

　　3、主工具欄 的按鈕

【過(guò)濾規(guī)則及使用方法】

　　初學(xué)者使用wireshark時(shí)，將會(huì)得到大量的冗余數(shù)據(jù)包列表，以至于很難找到自己自己抓取的數(shù)據(jù)包部分。wireshar工具中自帶了兩種類型的過(guò)濾器，學(xué)會(huì)使用這兩種過(guò)濾器會(huì)幫助我們?cè)诖罅康臄?shù)據(jù)中迅速找到我們需要的信息。

　　1、抓包過(guò)濾器

　　捕獲過(guò)濾器的菜單欄路徑為Capture --> Capture Filters。用于在抓取數(shù)據(jù)包前設(shè)置。

　　如何使用？可以在抓取數(shù)據(jù)包前設(shè)置如下。

　　ip host 60.207.246.216 and icmp表示只捕獲主機(jī)IP為60.207.246.216的ICMP數(shù)據(jù)包。獲取結(jié)果如下：

　　2、顯示過(guò)濾器

　　顯示過(guò)濾器是用于在抓取數(shù)據(jù)包后設(shè)置過(guò)濾條件進(jìn)行過(guò)濾數(shù)據(jù)包。通常是在抓取數(shù)據(jù)包時(shí)設(shè)置條件相對(duì)寬泛，抓取的數(shù)據(jù)包內(nèi)容較多時(shí)使用顯示過(guò)濾器設(shè)置條件顧慮以方便分析。同樣上述場(chǎng)景，在捕獲時(shí)未設(shè)置捕獲規(guī)則直接通過(guò)網(wǎng)卡進(jìn)行抓取所有數(shù)據(jù)包，如下

　　執(zhí)行ping www.huawei.com獲取的數(shù)據(jù)包列表如下；

　　觀察上述獲取的數(shù)據(jù)包列表，含有大量的無(wú)效數(shù)據(jù)。這時(shí)可以通過(guò)設(shè)置顯示器過(guò)濾條件進(jìn)行提取分析信息。ip.addr == 211.162.2.183 and icmp。并進(jìn)行過(guò)濾。

　　上述介紹了抓包過(guò)濾器和顯示過(guò)濾器的基本使用方法，在組網(wǎng)不復(fù)雜或者流量不大情況下，使用顯示器過(guò)濾器進(jìn)行抓包后處理就可以滿足我們使用。