Wireshark 抓包简易流程
1、安装
已安装可跳过此章
在官网下载安装包 Wireshark · Go Deep;
Window 版本选第一个, MAC 选对应处理器的安装包
安装过程全部默认无脑点下一步,安装地址可以自己选,不想换就默认;安装过程会提示安装 Nacap,同意后正常安装即可;
2、抓包流程
一、前置操作
抓包前最好关闭其他网卡干扰,在面板网络连接属性中右键将不准备检测的网卡禁用,根据需要配置使用网卡的 ip,也可以自动分配,在 cmd 查看当前 ip 即可;
在使用笔记本禁用无线网通过网线直连设备此方法尤为有效;
抓包前可在 cmd 确认下网络状态,通过 ping 指令确认电脑是否与待测设备相通;
- 按下 win + R ,输入 cmd 后回车
- 输入 ping ip ,回车看执行情况
如果出现如下图所示回复说明电脑与待测设备网络通信正常;
二、抓包排查
打开 WhireShark,双击你准备抓包的网卡,将开始自动抓包;此时该检测网卡的网络请求活动将持续输出在输出区;
开始捕获以太网2的网络传输信息
也可以在【捕获】【选项】中设定获取的网络接口
如果你想看待测设备的接收情况的话可在搜索框通过关键字输入 ip 过滤需要检索的设备网络情况,比如检索 192.168.10.1 输入如下关键字及 ip 后敲一下回车即可完成过滤;
ini
ip.addr == 192.168.10.1
如果过滤待测设备的网络请求抓包后出现以上黑色警示,你可能需要排查当前软件与待测设备的网络通讯环境问题
经常导致 TCP Retransmission 的原因有
- 延迟丢包,不稳定
- 网络拥塞,传输慢
- 多次重传,造成延迟与拥塞
- 网络中断(连接异常)
正常的一次 TCP 下发应该如下图所示
这个数据包序列代表了一个典型的TCP握手过程。首先,数据包 #99 发送一个带有SYN标志的请求,试图建立连接。然后,数据包 #101 是目标端的响应,包含SYN和ACK标志以示同意建立连接。数据包 #102 是源端的确认。接下来,数据包 #116 包含数据(PSH 标志),并被确认。最后,数据包 #117 是对数据包 #82 的确认。这表示TCP连接已建立,并且数据可以在双方之间传输。
报文颜色含义
三、报文保存
停止抓包后在【文件】【保存】进行保存
默认使用的保存类型是pcapng,保存的数据非常全面