Wireshark是非常流行的網絡封包分析軟件，可以截取各種網絡數據包，并顯示數據包詳細信息。常用于開發測試過程各種問題定位。

Wireshark軟件安裝

軟件下載路徑：wireshark官網。按照系統版本選擇下載，下載完成后，按照軟件提示一路Next安裝。

如果你是Win10系統，安裝完成后，選擇抓包但是不顯示網卡，下載win10pcap兼容性安裝包。

Wireshark 開始抓包示例

先介紹一個使用wireshark工具抓取ping命令操作的示例，讓讀者可以先上手操作感受一下抓包的具體過程。

（1）打開wireshark 2.6.5，主界面如下：

（2）選擇菜單欄上Capture -> Option，勾選WLAN網卡（這里需要根據各自電腦網卡使用情況選擇，簡單的辦法可以看使用的IP對應的網卡）。點擊Start。啟動抓包。

（3）wireshark啟動后，wireshark處于抓包狀態中。

（4）執行需要抓包的操作，如ping www.baidu.com。

（5）操作完成后相關數據包就抓取到了。為避免其他無用的數據包影響分析，可以通過在過濾欄設置過濾條件進行數據包列表過濾，獲取結果如下。說明：ip.addr == 119.75.217.26 and icmp 表示只顯示ICPM協議且源主機IP或者目的主機IP為119.75.217.26的數據包。

（6）wireshark抓包完成，就這么簡單。關于wireshark過濾條件和如何查看數據包中的詳細內容在后面介紹。

Wireshakr抓包界面

說明：數據包列表區中不同的協議使用了不同的顏色區分。協議顏色標識定位在菜單欄View --> Coloring Rules。如下所示。

WireShark 主要分為這幾個界面：

1. Display Filter(顯示過濾器)， 用于設置過濾條件進行數據包列表過濾。菜單路徑：Analyze --> Display Filters。

2. Packet List Pane(數據包列表)， 顯示捕獲到的數據包，每個數據包包含編號，時間戳，源地址，目標地址，協議，長度，以及數據包信息。不同協議的數據包使用了不同的顏色區分顯示。

3. Packet Details Pane(數據包詳細信息), 在數據包列表中選擇指定數據包，在數據包詳細信息中會顯示數據包的所有詳細信息內容。數據包詳細信息面板是最重要的，用來查看協議中的每一個字段。各行信息分別為

Frame: 物理層的數據幀概況

Ethernet II: 數據鏈路層以太網幀頭部信息

Internet Protocol Version 4: 互聯網層IP包頭部信息

Transmission Control Protocol: 傳輸層T的數據段頭部信息，此處是TCP

Hypertext Transfer Protocol: 應用層的信息，此處是HTTP協議

TCP包的具體內容：從下圖可以看到wireshark捕獲到的TCP包中的每個字段。

4. Dissector Pane(數據包字節區)。

Wireshark過濾器設置

初學者使用wireshark時，將會得到大量的冗余數據包列表，以至于很難找到自己自己抓取的數據包部分。

wireshark工具中自帶了兩種類型的過濾器，學會使用這兩種過濾器會幫助我們在大量的數據中迅速找到我們需要的信息。

（1）抓包過濾器

捕獲過濾器的菜單欄路徑為Capture --> Capture Filters。用于在抓取數據包前設置。

如何使用？可以在抓取數據包前設置如下。

ip host 60.207.246.216 and icmp表示只捕獲主機IP為60.207.246.216的ICMP數據包。獲取結果如下：

（2）顯示過濾器

顯示過濾器是用于在抓取數據包后設置過濾條件進行過濾數據包。

通常是在抓取數據包時設置條件相對寬泛，抓取的數據包內容較多時使用顯示過濾器設置條件顧慮以方便分析。

同樣上述場景，在捕獲時未設置捕獲規則直接通過網卡進行抓取所有數據包，如下：

執行ping www.huawei.com獲取的數據包列表如下

觀察上述獲取的數據包列表，含有大量的無效數據。這時可以通過設置顯示器過濾條件進行提取分析信息。ip.addr == 211.162.2.183 and icmp。并進行過濾。

上述介紹了抓包過濾器和顯示過濾器的基本使用方法。在組網不復雜或者流量不大情況下，使用顯示器過濾器進行抓包后處理就可以滿足我們使用。下面介紹一下兩者間的語法以及它們的區別。

wireshark過濾器表達式的規則：

（1）抓包過濾器語法和實例

抓包過濾器類型Type（host、net、port）、方向Dir（src、dst）、協議Proto（ether、ip、tcp、udp、http、icmp、ftp等）、邏輯運算符（&& 與、|| 或、！非）

⊙ 協議過濾

比較簡單，直接在抓包過濾框中直接輸入協議名即可。

TCP，只顯示TCP協議的數據包列表

HTTP，只查看HTTP協議的數據包列表

ICMP，只顯示ICMP協議的數據包列表

⊙ IP過濾

host 192.168.1.104

src host 192.168.1.104

dst host 192.168.1.104

⊙ 端口過濾

port 80

src port 80

dst port 80

⊙ 邏輯運算符&& 與、|| 或、！非

src host 192.168.1.104 && dst port 80 抓取主機地址為192.168.1.80、目的端口為80的數據包

host 192.168.1.104 || host 192.168.1.102 抓取主機為192.168.1.104或者192.168.1.102的數據包

！broadcast 不抓取廣播數據包

（2）顯示過濾器語法和實例

⊙ 比較操作符

比較操作符有== 等于、！= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

⊙ 協議過濾

比較簡單，直接在Filter框中直接輸入協議名即可。注意：協議名稱需要輸入小寫。

tcp，只顯示TCP協議的數據包列表

http，只查看HTTP協議的數據包列表

icmp，只顯示ICMP協議的數據包列表

⊙ ip過濾

ip.src ==192.168.1.104 顯示源地址為192.168.1.104的數據包列表

ip.dst==192.168.1.104, 顯示目標地址為192.168.1.104的數據包列表

ip.addr == 192.168.1.104 顯示源IP地址或目標IP地址為192.168.1.104的數據包列表

⊙ 端口過濾

tcp.port ==80, 顯示源主機或者目的主機端口為80的數據包列表。

tcp.srcport == 80, 只顯示TCP協議的源主機端口為80的數據包列表。

tcp.dstport == 80，只顯示TCP協議的目的主機端口為80的數據包列表。

⊙ Http模式過濾

http.request.method=="GET", 只顯示HTTP GET方法的。

⊙ 邏輯運算符為 and/or/not

過濾多個條件組合時，使用and/or。比如獲取IP地址為192.168.1.104的ICMP數據包表達式為ip.addr == 192.168.1.104 and icmp

⊙ 按照數據包內容過濾

假設我要以IMCP層中的內容進行過濾，可以單擊選中界面中的碼流，在下方進行選中數據。如下：

右鍵單擊選中后出現如下界面：

選中Select后在過濾器中顯示如下：

后面條件表達式就需要自己填寫。如下我想過濾出data數據包中包含"abcd"內容的數據流。包含的關鍵詞是contains 后面跟上內容。

看到這，你基本上對wireshark有了初步了解了吧？

審核編輯 ：李倩