wireshark抓包用法以及數據包分析系列教程是什麼一

Wireshark是一個抓取網絡數據包的工具，這對分析網絡問題是很重要的，下文將會簡單的介紹下如何使用Wireshark來抓包。 1、在如下鏈接下載“Wireshark”並在電腦上安裝。 2、如果之前沒有安裝過“Winpcap”請在下面把安裝“Winpcap”的勾選上。 3、打開

wireshark能獲取HTTP，也能獲取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的內容，如果是處理HTTP,HTTPS 還是用Fiddler, 其他協議比如TCP,UDP 就用wireshark.。

材料/工具

360安全瀏覽器、wireshark軟件

Wireshark是一個抓取網絡數據包的工具，這對分析網絡問題是很重要的，下文將會簡單的介紹下如何使用Wireshark來抓包。1、在如下鏈接下載“Wireshark”並在電腦上安裝。2、如果之前沒有安裝過“Winpcap”請在下面把安裝“Winpcap”的勾選上。3、打開安

抓包方法

首先在360瀏覽器中搜索“wireshark官網”並點擊下面的鏈接（如下圖）

你是網絡管理員嗎？你是不是有過這樣的經歷：在某一天的早上你突然發現網絡性能急劇下降，網絡服務不能正常提供，服務器訪問速度極慢甚至不能訪問，網絡交換機端口指示燈瘋狂地閃爍、網絡出口處的路由器已經處於滿負荷的工作狀態、路由器CPU已經

進入後點擊下載圖標（如下圖）

用39系列交換機鏡像抓包配置方法： 一、3900端口鏡像配置 步驟一 ：[Quidway]mirroring-group 1 local 説明：創建端口鏡像組 步驟二：[Quidway]mirroring-group 1 monitor-port Ethernet 1/0/22 説明：創建鏡像目的端口 22 備註將電腦的網線接在

選擇自己的系統下載相應的版本（如下圖）

如果是Windows下可以使用科萊網絡分析系統，使用技術交流版即可滿足一般的需求。與Wireshark一樣，也是通過抓取網絡數據包來進行分析。 關鍵是科萊有官方論壇和教程，軟件是全中文，軟件也自帶一些分析建議，相信你不用在這裏找人給圖文講解也能

下載好後進行安裝（如下圖）

【WireShark概覽】 1、Wireshark 是網絡報文分析工具。網絡報文分析工具的主要作用是嘗試捕獲網絡報文， 並嘗試顯示報文儘可能詳細的內容。過去的此類工具要麼太貴，要麼是非公開的。 直到Wireshark（Ethereal）出現以後，這種情況才得以改變。W

安裝完後打開“wireshark”，選擇下面抓包來源並點擊“捕獲”（如下圖）

啟動wireshark後，選擇工具欄中的快捷鍵（紅色標記的按鈕）即可Start a new live capture。 主界面上也有一個interface list（如下圖紅色標記1），列出了系統中安裝的網卡，選擇其中一個可以接收數據的的網卡也可以開始抓包。 在啟動時候也許會

點擊“開始”進行抓包（如下圖）

、電腦做wifi熱點，手機連上後電腦上使用wireshark抓包 該方法手機無須root，並且適用於各種有wifi功能的手機（IOS、android等）、平板等。只要電腦的無線網卡具有無線承載功能，就可以。方法如下： 1.把電腦的網絡做為熱點 2.開啟wifi熱點後，

抓包完成後點擊左上角的“停止”圖標即可結束抓包（如下圖）

點Main Toolbar的倒數第三個按鈕。或者點View菜單的Coloring Rules（倒數第三個），可以看到對應的顏色規則。 綠色背景（黑字）的是HTTP包，灰色背景（黑字）的是TCP包。 黑色背景的比較多，黑底紅字的是TCP錯誤包或者校驗和錯誤的包。

數據分析

點擊上面的某個包，可以查看具體內容，對應着五層協議：

-A 以ASCII碼方式顯示每一個數據包(不會顯示數據包中鏈路層頭部信息). 在抓取包含網頁數據的數據包時, 可方便查看數據(nt: 即Handy for capturing web pages). -X 當分析和打印時, tcpdump 會打印每個包的頭部數據, 同時會以16進制和ASCII碼形式

①Frame：物理層的數據幀概況；

廣播是一台主機向網絡中所有主機發送數據包，廣播的目的地址不同於單播單一的地址。 廣播有兩類：定向廣播和有限廣播 1、定向廣播是將數據包發送到向本網絡之外的特定網絡所有主機，定向廣播的目的地址是定向網絡的廣播地址，如當前網絡為192.16

②Ethernet II：數據鏈路層以太網幀頭部信息；

點Main Toolbar的倒數第三個按鈕。或者點View菜單的Coloring Rules（倒數第三個），可以看到對應的顏色規則。 綠色背景（黑字）的是HTTP包，灰色背景（黑字）的是TCP包。 黑色背景的比較多，黑底紅字的是TCP錯誤包或者校驗和錯誤的包。

③Internet Protocol Version 4：互聯網層IP包頭部信息；

1. 調用 tshark, text2pcap 進行 system() 操作，並將結果發到流中，總體來説，在jvm調用shell 是效率比較低的 2. 使用 GitHub - kaitoy/pcap4j: A java library for capturing, crafting, and sending packets. 它完全脱離wireshark了，只

④Transmission Control Protocol：傳輸層的數據段頭部信息，此處是TCP協議；User Datagram Protocol：UDP協議；

啟動wireshark後，選擇工具欄中的快捷鍵（紅色標記的按鈕）即可Start a new live capture。 主界面上也有一個interface list（如下圖紅色標記1），列出了系統中安裝的網卡，選擇其中一個可以接收數據的的網卡也可以開始抓包。 在啟動時候也許會

⑤Hypertext Transfer Protocol：應用層的信息，此處是HTTP協議。

隨便連接wifi熱點是很不安全，這裏簡單地用360免費wifi創建一個wifi熱點，通過手機（客户端）連接，並用本機進行wireshark抓包分析客户端請求的http協議。 http協議是明文傳輸的，但目前大部分的網站對於用户的帳號密碼也還是未經加密傳輸的。這

物理層Frame：點擊frame左邊的小圖標可以查看物理層的數幀概況（如下圖）

抓取報文: 下載和安裝好Wireshark之後，啟動Wireshark並且在接口列表中選擇接口名，然後開始在此接口上抓包。例如，如果想要在無線網絡上抓取流量，點擊無線接口。點擊Capture Options可以配置高級屬性，但現在無此必要。 點擊接口名稱之後，就

Ethernet II：數據鏈路層以太網幀頭部信息（如下圖）

常用的抓包軟件，如wireshark wireshark是捕獲機器上的某一塊網卡的網絡包，當你的機器上有多塊網卡的時候，你需要選擇一個網卡。 點擊Caputre->Interfaces.. 出現下面對話框，選擇正確的網卡。然後點擊"Start"按鈕, 開始抓包。 WireShark 主要

Internet Protocol Version 4：互聯網層IP包頭部信息（如下圖）

Wireshark 一般在抓包的時候無需過濾，直接在數據分析時候過濾出來你想要的數據就成了。 1.具體為Capture->Interface->(選擇你的網卡)start 這時候數據界面就顯示了當前網卡的所有數據和協議了。 2.下來就是找到我們想要的數據 教你一些技巧，比

Transmission Control Protocol：傳輸層的數據段頭部信息（如下圖）

抓包軟件是用來看傳輸的數據包報文內容的，不能用來看下載速度的 看下載速度要用流量監控類軟件。

Hypertext Transfer Protocol：應用層的信息（如下圖）

啟動wireshark，選擇網卡，開始抓包 在過濾裏面輸入oicq 就把QQ的包都過濾出來了 按照源和目的地址的區分，可以且僅可以分析出你抓包對象的QQ號碼 QQ現在使用密文發送，抓不出來聊天的內容了

擴展閲讀，以下內容您可能還感興趣。

用wireshark抓包sftp和ftp的區別

-A 以ASCII碼方式顯示每一個數據知包(不會顯示數據包中鏈路層頭部信息). 在抓取包含網頁數據的數據包時, 可方便查看數據(nt: 即Handy for capturing web pages).

-X 當分析和打道印時, tcpdump 會打印每個包的頭部數據, 同時會以16進制和ASCII碼形式打印出每個包的數據(但不包括連接層的頭部).這對於分析一些新協議的數據包很方便.

-i eth1：指內定監聽的網絡接口，可以使用ifconfig獲取容網絡配置

host 數據包的源或目的地址是指定IP或者主機名

-w 數據包保存到指定文件

使用抓包軟件分析抓包，怎樣看廣播幀？哪些是廣播幀？我有wireshark和omnipeek軟件。

廣播是一台主機向網絡中所有百主機發送數據包，廣播的目的地址不同於單播單一的地址。

廣播有兩類：定向廣度播和有限廣播

1、定向廣播是將數據包發送到向本網絡之外的特定網絡所有主機，定向廣播的目的地址是定向網絡的廣播地址，如當知前網絡為192.168.0.0/24,要向192.168.1.0/24的網絡發送定向道廣播，那麼定向廣播的目的地址是：專192.168.1.255。可以配置路由器讓其轉發定向廣播。

2、有限廣播是將數據包發送到本地網絡的所有主機，有限廣播使用的目的地址是:255.255.255.255.路由器不轉發此廣播。

所以屬看看是不是最後是255的就可以了

wireshark抓包，有的條顯示底色是黑色，這是壞包的意思嗎？如果是，該怎麼把這些包全部過濾掉？先謝謝了

點知Main Toolbar的倒數第三個按鈕。或者點View菜單的Coloring Rules（倒數第三個），可以看到對應的顏色規則。

綠色背景（黑字道）的是HTTP包，灰色背景（黑字）的是TCP包。

黑色背景的比內較多，黑底紅字的是TCP錯誤包或者校驗和錯誤的包容。追問謝謝，那如果我想過濾掉所有的壞包，有沒有辦法？

java怎麼解析Wireshark抓包文件

1. 調用 tshark, text2pcap 進行 system() 操作，並將結果zhidao發到流中，總體來説，內在jvm調用shell 是效率比較低的

2. 使用 GitHub - kaitoy/pcap4j: A Java library for capturing, crafting, and sending packets. 它完全脱離wireshark了，只是説libpcap的包裝，支持的協議不容是很全

如何設置wireshark抓包長度

啟動wireshark後，選擇工具欄中的快捷鍵（紅色標記的按鈕）即可Start a new live capture。

主界面上也有一個interface list（如下圖紅色標記1），列出了系統中安裝的網卡，選擇其中一個可以接收數據的的網卡也可以開始抓包。

在啟動時候也許會遇到這樣的問題：彈出一個對話框説 NPF driver 沒有啟動，無法抓包。在win7或Vista下找到C: \system\system32下的cmd.exe 以管理員身份運行，然後輸入 net start npf，啟動NPf服務。

重新啟動wireshark就可以抓包了。

抓包之前也可以做一些設置，如上紅色圖標記2，點擊後進入設置對話框，具體設置如下：

Interface：指定在哪個接口（網卡）上抓包（系統會自動選擇一塊網卡）。

Limit each packet：*每個包的大小，缺省情況不*。

Capture packets in promiscuous mode：是否打開混雜模式。如果打開，抓 取所有的數據包。一般情況下只需要監聽本機收到或者發出的包，因此應該關閉這個選項。

Filter：過濾器。只抓取滿足過濾規e69da5e6ba90e799bee5baa6e997aee7ad9431333361313836則的包。

File：可輸入文件名稱將抓到的包寫到指定的文件中。

Use ring buffer： 是否使用循環緩衝。缺省情況下不使用，即一直抓包。循環緩衝只有在寫文件的時候才有效。如果使用了循環緩衝，還需要設置文件的數目，文件多大時回捲。

Update list of packets in real time：如果複選框被選中，可以使每個數據包在被截獲時就實時顯示出來，而不是在嗅探過程結束之後才顯示所有截獲的數據包。

單擊“OK”按鈕開始抓包，系統顯示出接收的不同數據包的統計信息，單擊“Stop”按鈕停止抓包後，所抓包的分析結果顯示在面板中，如下圖所示：

為了使抓取的包更有針對性，在抓包之前，開啟了QQ的視頻聊天，因為QQ視頻所使用的是UDP協議，所以抓取的包大部分是採用UDP協議的包。

3、對抓包結果的説明

wireshark的抓包結果整個窗口被分成三部分：最上面為數據包列表，用來顯示截獲的每個數據包的總結性信息；中間為協議樹，用來顯示選定的數據包所屬的協議信息；最下邊是以十六進制形式表示的數據包內容，用來顯示數據包在物理層上載輸時的最終形式。本回答被提問者採納