Wireshark基础使用指南

抓包设置

选择网络接口

  1. 打开菜单栏 Capture -> Option
  2. 选择需要监听的网络接口(通常是WLAN)
  3. 点击开始捕获
    图片1

    数据包分析

1. 分层结构

Wireshark显示的数据包遵循OSI七层模型:

  • 物理层
  • 数据链路层
  • 网络层
  • 传输层
  • 会话层
  • 表示层
  • 应用层

2. 数据显示

每个数据包都有两种显示方式:

  • 分层协议详情
  • 16进制原始数据

过滤器使用

Wireshark提供两种类型的过滤器:

1. 捕获过滤器

  • 在开始捕获前设置
  • 只捕获符合条件的数据包
  • 减少系统资源占用
  • 适合长时间抓包

2. 显示过滤器

  • 对已捕获的数据包进行过滤
  • 不影响捕获过程
  • 可以随时修改过滤条件
  • 更灵活的过滤语法

常用过滤语法

1. IP地址过滤

1
2
3
4
5
# 精确匹配
ip.addr == 192.168.1.1

# 模糊匹配
ip.addr contains 192.168

2. 协议过滤

1
2
3
4
5
# 单一协议
http

# 多协议组合
http or https

3. 端口过滤

1
2
3
4
5
6
7
8
# 精确匹配
tcp.port == 80

# 源端口
tcp.srcport == 80

# 目标端口
tcp.dstport == 80

4. 组合过滤

1
2
3
4
5
# IP + 协议 + 端口
ip.addr == 192.168.1.1 and http and tcp.port == 80

# 多条件模糊匹配
ip.addr contains 192.168 and tcp.port contains 80

图片1
图片1

过滤器使用技巧

  1. 运算符

    • == 精确匹配
    • contains 包含匹配
    • and
    • or
    • not

  2. 常用组合

    • 特定IP的HTTP流量:
      1
      ip.addr == 192.168.1.1 and http
    • 特定端口的TCP流量:
      1
      tcp.port == 443 and tcp

  3. 保存过滤器

    • 可以保存常用的过滤器表达式
    • 方便快速切换不同的过滤条件