🍁 博主 "开着拖拉机回家"带您 Go to New World.✨🍁

🦄 个人主页——🎐开着拖拉机回家_Linux,大数据运维-CSDN博客 🎐✨🍁

🪁🍁 希望本文能够给您带来一定的帮助🌸文章粗浅，敬请批评指正！🍁🐥

🪁🍁🪁🍁🪁🍁🪁🍁 🪁🍁🪁🍁🪁🍁🪁 🪁🍁🪁🍁🪁🍁🪁🍁🪁🍁🪁🍁

感谢点赞和关注 ，每天进步一点点！加油！

目录

🍁 博主 "开着拖拉机回家"带您 Go to New World.✨🍁

一、Wireshark简介

二、下载及安装

三、实施抓包

四、使用显示过滤器

五、数据包层次结构介绍

---

一、Wireshark简介

---

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

在过去，网络封包分析软件是非常昂贵的，或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的途径取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一（百度百科）。

---

二、下载及安装

---

在 Windows 系统中安装 Wireshark 工具，打开网址 https://www.wireshark.org，进入 Wireshark 官网。

在 Stable Release 部分可以看到目前 Wireshark 的最新版本是 4.0.8，用户可以根据自己的操作系统下载相应的软件包。

这里下载 Windows 64 位的安装包。单击 Windows Installer(64-bit) 链接，进行下载。下载后的文件名为 Wireshark-win64-4.0.8.exe。

双击下载的软件包进行安装：

同意许可协议

选择 Next：

选择安装组件（默认安装）

可以选择 创建桌面图标

选择安装路径

安装winPacp（默认安装）

安装USB（默认安装）

安装中

同意协议，勾选安装选项。

选择Next

安装完成后我们选择Next

找个合适时间 再重启，不用重启也是可以的。

安装好以后，在 Windows 的“开始”菜单中会出现 Wireshark 图标，如图所示。

双击后打开

---

三、实施抓包

---

安装好 Wireshark 以后，就可以运行它来捕获数据包了。方法如下：

在 Windows 的“开始”菜单中，单击 Wireshark 菜单，启动 Wireshark，如图所示。

该图为 Wireshark 的主界面，界面中显示了当前可使用的接口，例如，以太网2、本地连接 9 等。要想捕获数据包，必须选择一个接口，表示捕获该接口上的数据包。

在上图中，选择捕获“以太网2”接口上的数据包，然后单击左上角的“开始捕获分组”按钮，将进行捕获网络数据，如下如所示。

“以太网2”接口的数据将会被 Wireshark 捕获到，捕获的数据包如图所示。Wireshark 将一直捕获“本地连接”上的数据。如果不需要再捕获，可以单击左上角的“停止捕获分组”按钮，停止捕获。

---

四、使用显示过滤器

---

默认情况下，Wireshark 会捕获指定接口上的所有数据，并全部显示，这样会导致在分析这些数据包时，很难找到想要分析的那部分数据包。这时可以借助显示过滤器快速查找数据包。

显示过滤器是基于协议、应用程序、字段名或特有值的过滤器，可以帮助用户在众多的数据包中快速地查找数据包，可以大大减少查找数据包时所需的时间。

使用显示过滤器，需要在 Wireshark 的数据包界面中输入显示过滤器并执行，我们选择 ping 百度：

用户可以在框框中输入显示过滤器，进行数据查找，也可以根据协议过滤数据包，我输入 ip.addr == 110.242.68.3，然后开始捕获，在开始ping 百度，输出如下捕获到的信息：

ICMP请求和应答:

---

五、数据包层次结构介绍

---

任何捕获的数据包都有它自己的层次结构，Wireshark 会自动解析这些数据包，将数据包的层次结构显示出来，供用户进行分析。这些数据包及数据包对应的层次结构分布在 Wireshark 界面中的不同面板中。

使用 Wireshark 捕获数据包，界面如图所示。

上图中所显示的信息从上到下分布在 3 个面板中，每个面板包含的信息含义如下：

• Packet List 面板：上面部分，显示 Wireshark 捕获到的\数据包。
• Packet Details 面板：中间部分，显示一个数据包的详细内容信息，并且以层次结构进行显示。这些层次结构默认是折叠起来的，用户可以展开查看详细的内容信息。
• Packet Bytes 面板：下面部分，显示一个数据包未经处理的原始样子，数据是以十六进制和 ASCII 格式进行显示。

以 ICMP 协议数据包为例，也就是 ping 百度过滤到的数据包，了解该数据包的层次结，如图所示：

其中，编号 37的数据包是一个 ICMP 协议数据包。此时在 Packet Details 面板上显示的信息就是该数据包的层次结构信息。这里显示了 4 个层次，每个层次的含义如下：

• Frame：该数据包物理层的数据帧概况。
• Ethernet II：数据链路层以太网帧头部信息。
• Internet Protocol Version 4：网际层 IP 包头部信息。
• Internet Control Message Protocol：网际层 控制报文协议应答消息。

由此可见，Wireshark 对 HTTP 协议数据包进行解析，显示了 HTTP 协议的层次结构。

用户对数据包分析就是为了查看包的信息，展开每一层，可以查看对应的信息。例如，查看网际层 信息，展开 Internet Control Message Protocol 层，显示信息如下：

可以以类似的方法分析其他数据包的层次结构。

---

参考原文链接：网络抓包工具Wireshark下载安装&使用详细教程-CSDN博客