wireshark常用选项与功能总结【10分钟成为抓包大师】

原址

这段时间用wireshark比较多，所以想顺便给大家写个简单的wireshark教程出来，因为wireshark的入门抓包比较简单，选择网卡，然后直接start就开始抓包了，不需要做什么修改，但是如果想要灵活的运用wireshark转包就需要对wireshark很多选项都要了解。

因为选项比较多，但真正实用且用的比较多的功能就那几个，所以我把这些功能总结出来，以供新手能够快速上手。

首先来个初步的思维导向图

两步抓包

选择当前正在使用的网卡，然后直接点击start抓包

标记序包

点击mark packet即可标记，取消标记则是取消标记。功能：方便找到需要的包，另外导出的时候可以选择只导出标记的包。

导出指定序包

导出包

可以选择所有包，或者当前选择的包、已经标记的包或者标记包之间的包，这个功能在导出指定包的时候非常实用

首选项中需要用到的

首选项位置：file – preference

“打开文件”位置记忆选项，如果选择remember last directory则是打开上次位置，会经常变，不过我们一般会把抓的包放到同一个目录方便管理，这里可以选择always start in 来指定每次打开固定文件夹。

界面调整

这个很容易理解，可以调整抓包页面的布置，这根据个人喜好，不过以经验来说还是默认的最好用。

抓包选项

调整包的大小或抓包时间来保存，这个功能在局域网流量比较大的时候特别实用，因为流量大的时候，会抓到大量的包，很容易导致软件假死，以至于抓的包丢失。

使用这个选项可以控制每积累几M的文件就自动保存，或者每多少分钟自动保存，很实用的功能。

抓包界面显示调节（重要）

如图这几个选项非常重要：

第一和第二个：默认勾选，转包的时候前端滚动显示抓包详情，如果大流量情况下可以关掉节省资源防止卡死。

第三个默认勾选，默认隐藏转包协议比例显示，但是比较耗费资源，流量大的时候建议关闭。

第四个：默认勾选，自动将MAC地址转化成易识别设备名。

第五、六个：默认不勾选，如果勾选，将自动将重要IP地址转化成域名，方便识别，如图：

过滤器设置

过滤器分为两种：一种为抓包过滤器，另一种为显示过滤器

区别

抓包过滤器在抓包过程中，不符合这个规则的包则不抓取；而显示过滤器则，在抓包过程中默认全部抓取，在抓取结果中用显示过滤器筛选出想要的结果，两者功能截然不同，而且非常重要。一般在流量比较大的环境需要使用抓包过滤来抓取重要的包，减小软件压力，否则容易卡死。

抓包过滤器

抓包过滤器设置地方如下图：

如下图，即使我过滤了只要80端口的包，抓到的包也是显示100%

显示过滤器

如图：