扫描关注，获取更多视频课程！

一、Wireshark介绍

Wireshark是一款非常棒的Unix和Windows上的开源网络协议分析器。Wireshark中文版可以实时检测网络通讯数据，也可以检测其抓取的网络通讯数据快照文件。Wireshark中文版可以通过图形界面浏览这些数据，可以查看网络通讯数据包中每一层的详细内容。Wireshark拥有许多强大的特性：包含有强显示过滤器语言（rich display filter language）和查看TCP会话重构流的能力；它更支持上百种协议和媒体类型；拥有一个类似tcpdump(一个Linux下的网络协议分析工具)的名为tethereal的的命令行版本。

二、Wireshark安装

官网下载地址：https://www.wireshark.org/#download

Win10系统抓包不显示网卡解决方式：

• 使用管理员权限运行wireshark

• 下载win10pcap兼容性安装包：http://www.win10pcap.org/download/

三、Wireshark抓包界面介绍

1、名称栏（主要显示选择使用的网卡或者打开的流量包文件，我们这里是选择的WLAN网卡）

2、菜单栏

3、工具栏（同时集合了一些菜单栏的快捷功能）

4、过滤栏（编写一些过滤规则的位置）

5&6、这一块是数据表区，5这一行显示的是下面参数分别显示的是什么

7、数据详细区

8、数据字节区

9、数据统计区，主要看分组：这块是总计的流量包数量，以及显示的流量包

四、Wireshark抓包

4.1. 抓包方式选择

• 捕获选项

点击选择后

Traffic这个位置是网卡通行的流量，有波动线的对应网卡是存在流量交互的

选择一个网卡点击开始，即开始抓包了

• 主界面抓包

更加方便的是双击选择一个网卡进行抓包，同时还可以选择使用捕获过滤器，抓自己想要的一些包。

4.2. 混杂模式与非混杂模式的区别

非混杂模式：主机仅嗅探那些跟它直接有关的通信，如发向它的，从它发出的，或经它路由的等都会被嗅探器捕捉。简单理解就是只接受我们该接受的数据包。

混杂模式：嗅探网卡传输线路上所有的通信，并且在非交换式网络，嗅探的是整个网络中的通信，会因为你的嗅探网络原因任何对你有用或者没用的包都会抓取，混杂模式同时是可以被探测到，如果在一个高负荷网络中，主机系统资源消耗会非常严重。

五、过滤器设置

5.1. 捕获过滤器

捕获过滤器的菜单栏路径为捕获 --> 捕获过滤器。用于在抓取数据包前设置。或者可以在主界面选择网卡的时候就选择应用过滤器规则。

例如只想捕获meterpretre木马的流量包规则，可以在这里提前设置，这样我们在捕获流量的整个过程都只捕获相关流量。

5.2. 显示过滤器

显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛，抓取的数据包内容较多时使用显示过滤器设置条件顾虑以方便分析。

我们这里应用的是只显示TCP传输控制协议的数据包，我们在最底下可以看见显示了853个相关的流量包。

六、数据区介绍

6.1. 数据表区

数据包列表， 显示捕获到的数据包，每个数据包包含编号，时间戳，源地址，目标地址，协议，长度，以及数据包信息。

选择显示的方式，一把默认没有日期时间的，可以通过视图去选择时间显示格式。

不同协议的数据包使用了不同的颜色区分显示。

6.2. 数据详细区（数据包的结构）

数据包详细信息面板（数据包的结构）主要用来查看协议中的每一个字段。各行信息分别为：

（1）Frame:   物理层的数据帧概况

（2）Ethernet II: 数据链路层以太网帧头部信息，端点会话的MAC地址

（3）Internet Protocol Version 4: 互联网层IP包头部信息，端点会话IP地址

（4）Transmission Control Protocol:  传输层的数据段头部信息，此处是TCP，端点会话的端口

（5）Hypertext Transfer Protocol:  应用层的信息，此处是HTTP协议

一个数据包的结构，如果是HTTP下面还会有HTTP请求的报文及请求的内容。

七、数据流追踪及分析

7.1. 数据流追踪

通常一个完整的数据流一般都是由很多个包组成的，如果查看某条数据包数据流的话。可以选中数据，然后右键选择追踪流。里面就会有TCP流、UDP流、SSL流、HTTP流等。数据包属于哪种流就选择对应的流，例如上图属于TCP我们就选择追逐TCP流。

包括我们可以选择流之间的IP对话，找指定的会话。

7.2. Endpoints

在Endpoints窗口中，可以通过排序Bytes和Tx Bytes来判断占用带宽最大的主机，同时也可以选择解析MAC名称去查看对应的名称。

也可以右键选择作为过滤器应用。

7.3. Conversions

Conversions窗口可以看到两个主机之间发送/接收数据包的数量、字节大小以及数据的流向情况，可以通过排序来判断占用最大带宽的主机，也可以解析名称，选择作为会话过滤器。

八、小总结

想用Wireshark做好流量分析，第一个需要对所需要分析的协议原理及结构有一个基本的了解，第二要对各种捕获规律规则都需要熟练掌握，下一篇文章主要总结各类过滤规则。