Wireshark抓包工具 v4.2.0

Wireshark抓包工具是一款很安全很正规的网络数据包分析软件，支持多种协议和媒体类型，可以一键截取各种网络数据包，并且网络包的数据不会受到损坏。还可以直接和网卡进行数据交换，操作很便捷，可以很直观的了解到各类数据的分布情况，有需要的可以来看看。

Wireshark抓包工具特色

1、来自多种不同网络媒体的实时捕获

Wireshark可以捕获来自许多不同网络媒体类型的流量，包括以太网、无线局域网、蓝牙、USB等。特定媒体支持的类型可能受到几个因素的限制，包括您的硬件和操作系统。

2、从许多其他捕获程序导入文件

Wireshark可以从大量捕获中打开数据包捕获程序。

3、为许多其他捕获程序导出文件

Wireshark可以以多种格式保存捕获的数据包，包括其他捕获程序。

Wireshark抓包工具表达式的规则

1、抓包过滤器语法和实例

抓包过滤器类型Type（host、net、port）、方向Dir（src、dst）、协议Proto（ether、ip、tcp、udp、http、icmp、ftp等）、逻辑运算符（&& 与、|| 或、！非）

（1）协议过滤

比较简单，直接在抓包过滤框中直接输入协议名即可。

TCP，只显示TCP协议的数据包列表

HTTP，只查看HTTP协议的数据包列表

ICMP，只显示ICMP协议的数据包列表

（2）IP过滤

host 192.168.1.104

src host 192.168.1.104

dst host 192.168.1.104

（3）端口过滤

port 80

src port 80

dst port 80

（4）逻辑运算符&& 与、|| 或、！非

src host 192.168.1.104 && dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包

host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包

！broadcast 不抓取广播数据包

2、显示过滤器语法和实例

（1）比较操作符

比较操作符有== 等于、！= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

（2）协议过滤

比较简单，直接在Filter框中直接输入协议名即可。注意：协议名称需要输入小写。

tcp，只显示TCP协议的数据包列表

http，只查看HTTP协议的数据包列表

icmp，只显示ICMP协议的数据包列表

（3） ip过滤

ip.src ==192.168.1.104 显示源地址为192.168.1.104的数据包列表

ip.dst==192.168.1.104, 显示目标地址为192.168.1.104的数据包列表

ip.addr == 192.168.1.104 显示源IP地址或目标IP地址为192.168.1.104的数据包列表

（4）端口过滤

tcp.port ==80,  显示源主机或者目的主机端口为80的数据包列表。

tcp.srcport == 80,  只显示TCP协议的源主机端口为80的数据包列表。

tcp.dstport == 80，只显示TCP协议的目的主机端口为80的数据包列表。

（5） Http模式过滤

http.request.method=="GET",   只显示HTTP GET方法的。

（6）逻辑运算符为 and/or/not

过滤多个条件组合时，使用and/or。比如获取IP地址为192.168.1.104的ICMP数据包表达式为ip.addr == 192.168.1.104 and icmp

（7）按照数据包内容过滤。假设我要以IMCP层中的内容进行过滤，可以单击选中界面中的码流，在下方进行选中数据。

选中Select后在过滤器中，后面条件表达式就需要自己填写。如下我想过滤出data数据包中包含"abcd"内容的数据流。包含的关键词是contains 后面跟上内容。

Wireshark抓包工具抓包教程

1、设置捕获接口

2、停止与重新监听

3、Wireshark数据包的保存

完成数据包的捕获后，可能我们并不急着马上做分析，或者说当前能做的分析还不够完整，需要后面来加深……如此种种，我们需要用文件保存这些数据包。保存数据包也有三种方式，

1 使用Ctrl+S组合键;

2 菜单栏：依次点击"File"-->"Save"

3 主工具栏 的按钮

WireShark 主要分为这几个界面：

1. Display Filter(显示过滤器)， 用于过滤

2. Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表

3. Packet Details Pane(封包详细信息), 显示封包中的字段

4. Dissector Pane(16进制数据)

5. Miscellanous(地址栏，杂项)

Wireshark抓包工具使用技巧

Wireshark字体设置：

注意:如果你选择中文的话，请选择合适的字体，具体在编辑->首选项设置->用户接口->字体中设置!

Wireshark语言设置：

1、首先将软件双击打开进入主界面，若是桌面没有软件可以在软件的安装文件夹中找到它哦!

2、打开了软件值如下图所示，显示的界面中是全英文的

3、请使用鼠标点击上方的edit选项卡，找到最下方的preferences按钮!

4、这样我们就可以进入软件的设置界面了，打开之后如下图所示，我们可以看见此时语言显示的是英文!

5、点击单击language一栏就可以将它更改为chinese选项了!

6、若是你的电脑系统是中文版的，可以设置为“use system setting”一栏!

7、设置成功之后点击确定进行保存，此时可以看见界面的语言已经变成中文版本的了!