Wireshark软件的使用教程

1.下载并安装Wireshark软件

2.运行wireshark

3. 抓取分组操作

4.Wireshark窗口功能

5.筛选分组操作

6.分组信息分析

7.分组头部信息查看

8.分组内容查看

1.下载并安装Wireshark软件

WireShark 是一种可以运行在 Windows，UNIX，Linux 等操作系统上的分组分析器。运行Wireshark，需要有一台支持Wireshark和libpcap或WinPCap分组捕获库的计算机。安装Wireshark时，如果操作系统中未安装libpcap软件，它将会自动安装。支持的操作系统和下载站点的列表，请访问http://www.wireshark.org/download.html。

通过http://www.wireshark.org/download.html 下载并安装计算机的Wireshark安装包。当您在安装或运行Wireshark时遇到问题时，可以查看Wireshark FAQ，它包含一些有用的提示和信息。

2.运行wireshark

双击桌面上的图标，可启动Wireshark。启动后的用户界面如下图所示，中间列表部分列出了所有网络接口。

3. 抓取分组操作

A.单击中间网络接口列表中，某一网络接口如eth0，选中网络接口，通过菜单“捕获”-“开始”或工具栏中的按钮，开始捕获选定接口中的网络分组；
B．也可以双击中间网络接口列表中，某一网络接口如eth0，可以开始抓取分组；
C．通过菜单“捕获”-“停止”或工具栏中的按钮停止抓取分组。
D．通过菜单“捕获”-“重新开始”或工具栏中的按钮重新开始抓取。

4.Wireshark窗口功能

A．命令菜单和工具栏命令菜单位于窗口的最顶部，是标准的下拉式菜单。最常用菜单命令有两个： 文件、 捕获。 文件 菜单允许你保存捕获的分组数据，或打开一个已被保存的捕获分组数据文件，或退出 WireShark 程序。 捕获 菜单允许你开始捕获分组。工具栏位于命令菜单的下方，提供常用功能的快捷方式。如：开始捕获、：停止捕获、：重新抓取分组。

B．显示过滤规则在该字段中，可以填写协议的名称或其他信息，根据此内容可以对分组列表窗口中的分组进行过滤。

C．捕获分组列表按行显示已被捕获的分组内容，其中包括： WireShark 赋予的分组序号、捕获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。单击某一列的列名，可以使分组按指定列进行排序。在该列表中，所显示的协议类型是发送或接收分组的最高层协议的类型。

D．分组头部明细显示捕获分组列表窗口中被选中分组的头部详细信息。包括：与以太网帧有关的信息，与包含在该分组中的 IP 数据报有关的信息。单击以太网帧或 IP 数据报所在行左边的向右或向下的箭头可以展开或最小化相关信息。如果利用 TCP 或 UDP 承载分组， WireShark 也会显示 TCP 或 UDP 协议头部信息。分组最高层协议的头部字段也会显示在此窗口中。

E．分组内容窗口以 ASCII 码和十六进制两种格式显示被捕获帧的完整内容。

5.筛选分组操作

通常，分组列表窗口中会显示许多类型的分组。即使仅仅是下载了一个网页，但是还有许多其他协议在您的计算机上运行，只是用户所看不见。可以在中间过滤窗口中输入过滤的分组协议如http，选择应用按钮，就可以只让HTTP分组消息显示在分组列表窗口。

6.分组信息分析

在分组窗口中，找到最前面的一条分组，列表形式查看分组的基本信息：

Time:时间

Source:发送主机IP地址

Destination: 接收主机IP地址

Protocol：分组协议

Length：分组长度

Info：分组内容

7.分组头部信息查看

分组头部信息窗口中，可以看到选中分组的头部详细信息。从上往下依次是：

Frame：分组头部

Ethernet: 以太网帧头部

Internet Protocol Version 4: IP数据包

Transmission Control Protocol：传输层包头部

Hypertext Transfer Protocol: 超文本传输协议包头部

单击前面的箭头可以展开或收缩该头部信息以便进一步分析。

8.分组内容查看

在分组内容窗口中，可以显示出该分组内容的16进制和ASCII两种格式的内容。鼠标指向内容窗口，可以将分组中某一字段的内容突出显示。在分组头部信息窗口中，展开选择某一头部信息时，分组内容中相应内容同步突出显示。