阅读数:43 评论数:0

wireshark是一个网络协议分析器，使用它可以对计算机网络抓包并交互式的观察网络运行。

yum install wireshark
 
yum install wireshark-gnome

wireshark是捕获机器上的某一块网卡的网络包, 当你的机器上有很多块网卡的时候, 你需要选择一个网卡.

点击Capture->Interfaces. 选择正确的网卡, 然后点击Start按钮, 开始抓包.

wireshark主要分为这几个界面:

1. Filter , 用于过滤

2. 封包列表, 显示捕获到的封包, 有源地址和目标地址等 .

3. 封包详细信息, 显示封包中的字段

4. 16进制数据

5. 杂项

https://www.wireshark.org/

二、使用示例

1、当打开wireshark时，界面会显示你可以监控的所有网络链接。

可以使用shift+left click选择多个网卡，如果双击直接可以抓包。

2、开始抓包

（1）方式一

点击toolbar上的鲨鱼翅。

（2）方式二

menu中的捕获-》开始

（3）方式三

快捷键ctrl + e

在分析包之前最好停止捕获。

3、包列表面板内容描述

（1）Time

开始捕获后，多长时间捕获到的数据包。

（2）Length

数据包的字节数。

（3）Info

数据包的额外信息。

中间的面板是包的详细内容，可以右键创建filters。

最低下面的面板是包的十六进制表示。

4、捕获过滤器

需要在开始捕获之前设置，在选择监听网卡的面板上有设置的地方

（1）host ip-address

只捕获来自特定IP地址的数据包。

（2）net 192.168.1.0/24

捕获所有子网内的数据包。

（3）dst host ip-address

捕获发送到特定ip的数据包。

（4）port 53

捕获经过特定端口的数据包

5、显示过滤器

（1）最常用的

ip.src=ip-address and ip.dst==ip-address