如何使用Wireshark捕获,过滤和检查数据包
Wireshark是一种以前称为Ethereal的网络分析工具,可实时捕获数据包并以人类可读的格式显示它们。 Wireshark包括过滤器,颜色编码和其他功能,可让您深入研究网络流量并检查单个数据包。
本教程将使您快速掌握捕获数据包,过滤和检查数据包的基本知识。您可以使用Wireshark检查可疑程序的网络流量,分析网络上的流量或对网络问题进行故障排除。
获取Wireshark
您可以从其官方网站下载适用于Windows或macOS的Wireshark。如果您使用的是Linux或其他类似UNIX的系统,则可能会在其软件包存储库中找到Wireshark。例如,如果您使用的是Ubuntu,则可以在Ubuntu软件中心找到Wireshark。
快速警告:许多组织不允许在其网络上使用Wireshark和类似工具。除非获得许可,否则请勿在工作中使用此工具。
捕获数据包
下载并安装Wireshark之后,您可以启动它并双击“捕获”下的网络接口名称,以开始捕获该接口上的数据包。例如,如果要捕获无线网络上的流量,请单击您的无线接口。您可以通过依次单击捕获>选项来配置高级功能,但这不是必需的。
点击界面名称后,您会立即看到数据包开始实时显示。 Wireshark捕获发送到系统或从系统发送的每个数据包。
如果您启用了混杂模式(默认情况下已启用),那么您还将看到网络上的所有其他数据包,而不仅是发给网络适配器的数据包。要检查是否启用了混杂模式,请单击捕获>选项,并确认此窗口底部的“在所有接口上启用混杂模式”复选框已激活。
如果要停止捕获流量,请单击窗口左上角附近的红色“停止”按钮。
颜色编码
您可能会看到以各种不同颜色突出显示的数据包。 Wireshark使用颜色帮助您一眼识别流量类型。默认情况下,浅紫色表示TCP流量,浅蓝色表示UDP流量,而黑色表示有错误的数据包-例如,它们可能是乱序发送的。
要准确查看颜色代码的含义,请单击查看>着色规则。如果愿意,您还可以从此处自定义和修改着色规则。
样品采集
如果您自己的网络上没有什么值得检查的东西,那么Wireshark的Wiki可以帮助您解决。 Wiki包含一个示例捕获文件页面,您可以加载和检查该页面。单击文件>在Wireshark中打开,然后浏览以下载文件以打开一个文件。
您也可以将自己的捕获保存在Wireshark中,以后再打开。单击文件>保存以保存捕获的数据包。
过滤数据包
如果您要检查某些特定内容,例如程序在打电话回家时发送的流量,则有助于关闭使用网络的所有其他应用程序,从而可以缩小流量范围。不过,您仍有可能要筛选大量数据包。这就是Wireshark的过滤器出现的地方。
应用过滤器的最基本方法是在窗口顶部的过滤器框中键入过滤器,然后单击“应用”(或按Enter键)。例如,键入“ dns”,您将仅看到DNS数据包。当您开始键入内容时,Wireshark将帮助您自动完成过滤器。
您也可以单击分析>显示过滤器以从Wireshark包含的默认过滤器中选择一个过滤器。在这里,您可以添加自己的自定义过滤器并将其保存,以供日后轻松访问。
有关Wireshark的显示过滤语言的详细信息,请阅读Wireshark官方文档中的“构建显示过滤器表达式”页面。
您可以做的另一件事是右键单击数据包,然后选择“关注”>“ TCP流”。
您会看到客户端和服务器之间的完整TCP对话。您也可以在“关注”菜单中单击其他协议,以查看其他协议的完整对话(如果适用)。
关闭窗口,您会发现一个过滤器已自动应用。 Wireshark正在向您显示构成对话的数据包。
检查数据包
单击一个数据包以将其选中,然后可以向下挖掘以查看其详细信息。
您也可以从此处创建过滤器-只需右键单击其中一个详细信息,然后使用“应用为过滤器”子菜单即可基于该子菜单创建过滤器。
Wireshark是一个非常强大的工具,本教程只是介绍您可以使用它做的事情。专业人员使用它来调试网络协议实现,检查安全问题并检查网络协议内部。
您可以在Wireshark官方用户指南和Wireshark网站上的其他文档页面中找到更多详细信息。