《熬夜整理》保姆级系列教程-玩转Wireshark抓包神器教程(5)-Wireshark捕获设置

1.简介

WireShark的强大之处就在于不用你再做任何配置就可以抓取http或者https的包。今天宏哥主要是讲解和分享如何使用WireShark抓包。

2.运行Wireshark

安装好 Wireshark 以后,就可以运行它来捕获数据包了。方法如下:

1.在 Windows 的"开始"菜单中,单击 Wireshark 菜单,如下图所示:

2.点击启动 Wireshark,如下图所示:

该图为 Wireshark 的主界面,界面中显示了当前可使用的接口,例如,本地连接* 5、本地连接* 6 等。要想捕获数据包,必须选择一个接口,表示捕获该接口上的数据包。

3.捕获设置

小伙伴或者童鞋们可以使用以下任意一种方式启动捕获。

2.1第一种方法

在上图中,选择捕获"本地连接* 5"接口上的数据包。选择"本地连接* 5"选项,然后单击左上角的"开始捕获分组"按钮,将进行捕获网络数据,如下图所示:

图中没有任何信息,表示没有捕获到任何数据包。这是因为目前"本地连接* 5"上没有任何数据。此时wireshark处于抓包状态中。只有在本地计算机上进行一些操作后才会产生一些数据,如浏览网站。如下图所示:

2.2第二种方法

1.选择菜单栏上捕获(Capture) ->选项(Option),弹出捕获选项,如下图所示:

当然也可以点击【捕获选项】的图标一步到位,如下图所示:

2.在捕获选项中:勾选WLAN网卡或者其他网卡(这里需要根据各自电脑网卡使用情况选择,简单的办法可以看使用的IP对应的网卡)。点击开始(Start)。启动抓包。如下图所示:

3.点击开始后,wireshark处于抓包状态中。由于本地计算机在浏览网站等一系列操作时,"以太网"接口的数据将会被 Wireshark 捕获到。捕获的数据包如图所示。图中方框中显示了成功捕获到"以太网"接口上的数据包。如下图所示:

4.Wireshark 将一直捕获"以太网"上的数据。如果不需要再捕获,可以单击左上角的"停止捕获分组"按钮,停止捕获。如下图所示:

2.3第三种方法

1.选中一个网卡,右键点击"Start capture"开始抓包,如下图所示:

3.Wireshark实战抓包

首次捕获都要经历网卡选取、选项配置和启动捕获三个过程,启动的方式不同并不会带来本质区别,都是殊途同归。

宏哥这里以本地计算ping一下百度的域名为例给小伙伴或童鞋们讲解和分享一下抓包过程。

1.通过前边的步骤我们知道Wireshark已经处于抓取"以太网"接口的抓包状态,宏哥这里就直接ping一下百度域名,如下图所示:

2.我们查看Wireshark是否抓取到宏哥ping百度域名的包,通过对照我们可以发现抓取到了,如下图所示:

4.过滤栏设置

我们发现在众多抓取的包查找ping百度的还是特别麻烦的,因为可以通过在过滤栏设置过滤条件进行数据包列表过滤,以免抓取无用包影响查看,这里就以ping baidu.com为例,只过滤百度的ip,设置如下:

复制代码
ip.addr == 110.242.68.3 and icmp

以上过滤条件说明:表示只显示ICPM协议且源主机IP或者目的主机IP为39.156.69.79的数据包。注意:协议名称icmp要小写。这里宏哥简单的介绍一下,后边会进行详细地介绍和讲解。

经过过滤后,我们发现查找到非常简单,因为宏哥ping了两次,因此总共有8条数据。如下图所示:

到此,关于Wireshark抓包流程就大功告成。你学废了吗???Wireshark抓包完成,就这么简单。关于wireshark过滤条件和如何查看数据包中的详细内容在后面介绍。

5.小结

好了,到此宏哥就将使用WireShark抓包讲解和分享完了,是不是很简单了。今天时间也不早了,就到这里!感谢您耐心的阅读~~