這段時間用wireshark比較多,所以想順便給大家寫個簡單的wireshark教程出來,因爲wireshark的入門抓包比較簡單,選擇網卡,然後直接start就開始抓包了,不需要做什麼修改,但是如果想要靈活的運用wireshark轉包就需要對wireshark很多選項都要了解。
因爲選項比較多,但真正實用且用的比較多的功能就那幾個,所以我把這些功能總結出來,以供新手能夠快速上手。
首先來個初步的思維導向圖
兩步抓包
選擇當前正在使用的網卡,然後直接點擊start抓包
標記序包
點擊mark packet即可標記,取消標記則是取消標記。功能:方便找到需要的包,另外導出的時候可以選擇只導出標記的包。
導出指定序包
導出包
可以選擇所有包,或者當前選擇的包、已經標記的包或者標記包之間的包,這個功能在導出指定包的時候非常實用
首選項中需要用到的
首選項位置:file – preference
“打開文件”位置記憶選項,如果選擇remember last directory則是打開上次位置,會經常變,不過我們一般會把抓的包放到同一個目錄方便管理,這裏可以選擇always start in 來指定每次打開固定文件夾。
界面調整
這個很容易理解,可以調整抓包頁面的佈置,這根據個人喜好,不過以經驗來說還是默認的最好用。
抓包選項
調整包的大小或抓包時間來保存,這個功能在局域網流量比較大的時候特別實用,因爲流量大的時候,會抓到大量的包,很容易導致軟件假死,以至於抓的包丟失。
使用這個選項可以控制每積累幾M的文件就自動保存,或者每多少分鐘自動保存,很實用的功能。
抓包界面顯示調節(重要)
如圖這幾個選項非常重要:
第一和第二個:默認勾選,轉包的時候前端滾動顯示抓包詳情,如果大流量情況下可以關掉節省資源防止卡死。
第三個默認勾選,默認隱藏轉包協議比例顯示,但是比較耗費資源,流量大的時候建議關閉。
第四個:默認勾選,自動將MAC地址轉化成易識別設備名。
第五、六個:默認不勾選,如果勾選,將自動將重要IP地址轉化成域名,方便識別,如圖:
wireshark抓包教程過濾器設置
過濾器分爲兩種:一種爲抓包過濾器,另一種爲顯示過濾器
區別
抓包過濾器在抓包過程中,不符合這個規則的包則不抓取;而顯示過濾器則,在抓包過程中默認全部抓取,在抓取結果中用顯示過濾器篩選出想要的結果,兩者功能截然不同,而且非常重要。一般在流量比較大的環境需要使用抓包過濾來抓取重要的包,減小軟件壓力,否則容易卡死。
抓包過濾器
抓包過濾器設置地方如下圖:
如下圖,即使我過濾了只要80端口的包,抓到的包也是顯示100%
顯示過濾器
如圖:
