wireshark抓包应用指导说明书.doc

杭州迪普科技有限公司
wireshark抓包应用指导说明书
拟制
雷振华
日期

评审人
日期
签发
日期
修订记录
日期
修订版本
描述
作者


初稿完成
雷振华
目录
1 WIRESHARK介绍 5
2 功能介绍 5
3 图形界面抓报文 5
选择网卡抓报文 5
显示报文抓取时间 7
Wireshark界面布局 8
报文过滤条件 9
常用过滤条件 10
Wireshark expression 11
高级过滤条件 11
Wireshark capture filter 14
4 命令行抓报文 15
选择网卡 15
命令行过滤条件 17
常用过滤条件 17
5 批量转换报文格式 18
Wireshark介绍
Wireshark 是开源网络包分析工具,支持Windows/Linux/Unix环境。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。可以从网站下载最新版本的Wireshark ( 。 Wireshark通常在4-8周内发布一次新版本
功能介绍
Wireshark支持图形和命令行两种抓报文方式
图形界面抓报文
选择网卡抓报文
第一步打开wireshark抓包软件,点击“Capture-->Interfaces”,如图3-1


图3-1选择网卡
第二步选择抓包的网卡,点击”Strart“开始抓包,这样将抓取流经此网卡的所有报文,并临时保存在内存中。因此,如果持续抓包将消耗掉系统所有内存。如图3-2和图3-3
图3-2启动抓包
图3-3抓包界面
图标
说明
重新抓报文
停止抓报文
表1-1
显示报文抓取时间
打开wireshark抓包软件,点击“View-->TimeDisplay Format-->Date and Time of Day”,如图3-4和图3-5
图3-4
效果图:
图3-5
Wireshark界面布局
Wireshark界面主要分为三部分(如图3-6),区域一显示抓取的报文,区域二显示选中报文的包头详细信息,区域三显示选中报文的详细信息,默认以十六进制显示。
图3-6
功能
说明
区域一
显示抓取的报文
区域二
显示选中报文的包头详细信息
区域三
显示选中报文的详细信息,默认以十六进制显示
Packets
抓取的所有报文计数
Displayed
满足过滤条件的报文计数
表1-2
报文过滤条件
Wireshark能够根据应用的需要设置灵活方便的过滤条件,迅速筛选出符合条件的报文。
Wireshark的Filter过滤能够自动检测语法合法性,如果过滤条件设置正确,则Filter输入框为绿色,如果过滤条件设置错误,则Filter输入框为红色。如图3-7
图3-7
常用过滤条件
功能
说明
==

==

==

== and ==

IPip
udp/==80
过滤udp或tcp源端口或目的端口是80的报文
udp/==40004
过滤udp或tcp源端口是40004的报文
udp/==80
过滤udp或tcp目的端口是80的报文
==40004 and ==80
过滤tcp协议源端口是40004且目的端口是80的报文
tcp/udp/http
过滤tcp/udp/http报文
==0x02
抓tcp syn报文
==0xadcd
过滤ip报文id是0xadcd的报文
表1-3