「作者主页」士别三日wyx
「作者简介」CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「专栏简介」此文章已录入专栏《网络安全快速入门》

2. 停止抓包

点击左上角的「红色按钮」可以停止抓包

也可以直接点击工具栏的保存按钮

四、界面介绍

选中字段按 Ctrl + Shift + I 也可以实现同样的效果。

添加为列的字段会在数据列表中显示。

3删除显示列

不需要查看的字段可以从显示列中删除。
右键需要删除的列点击最下方的「Remove this Column」 。

注意隐藏字段时在列名栏的任意位置右键即可而删除字段时需要在指定的列名位置右键以防误删。

3. 设置时间

数据包列表栏的时间这一列默认显示格式看起来很不方便我们可以调整时间的显示格式。
点击工具栏的「视图」选择「时间显示格式」设置你喜欢的格式。

选中数据包按 Ctrl + M 也可以实现同样的效果按两次可以取消标记。

5. 导出数据包

演示快速抓包时我们讲过保存数据包的操作保存操作默认保存所有已经抓取的数据包。但有时候我们只需要保存指定的数据包这时候可以使用导出的功能。

1导出单个数据包

选中数据包点击左上角的「文件」点击「导出特定分组」。

在「导出分组界面」选择第二个 「Selected packets only」只保存选中的数据包。

2导出多个数据包

有时候我们需要导出多个数据包Wireshark有一个导出标记的数据包的功能我们将需要导出的数据包都标记起来就可以同时导出多个数据包。

点击左上角的「文件」点击「导出特定分组」。

在「导出分组界面」勾选第三个 「Marked packets only」只导出标记的数据包。

6. 开启混杂模式

局域网的所有流量都会发送给我们的电脑默认情况下我们的电脑只会对自己mac的流量进行解包而丢弃其他mac的数据包。
开启混杂模式后我们就可以解析其他mac的数据包因此我们使用Wireshark时通常都会开启混杂模式。

点击菜单栏的「捕获」按钮点击「选项」。

勾选 在所有接口上使用混杂模式。

六、过滤器操作

过滤器是Wireshark的核心功能也是我们平时使用最多的一个功能。

Wireshark提供了两个过滤器抓包过滤器 和 显示过滤器。两个过滤器的过滤思路不同。

1. 抓包过滤器重点在动作需要的包我才抓不需要的我就不抓。
2. 显示过滤器重点在数据的展示包已经抓了只是不显示出来。

1. 抓包过滤器

抓包过滤器在抓包前使用它的过滤有一个基本的语法格式BPF语法格式。

1BPF语法

BPF全称 Berkeley Packet Filter中文叫伯克利封包过滤器它有四个核心元素类型、方向、协议 和 逻辑运算符。

1. 类型Type主机host、网段net、端口port
2. 方向Dir源地址src、目标地址dst
3. 协议Proto各种网络协议比如tcp、udp、http
4. 逻辑运算符与 && 、或 || 、非

四个元素可以自由组合比如

• src host 192.168.31.1抓取源IP为 192.168.31.1 的数据包
• tcp || udp抓取 TCP 或者 UDP 协议的数据包

2使用方式

使用抓包过滤器时需要先停止抓包设置完过滤规则后再开始抓包。

停止抓包的前提下点击工具栏的捕获按钮点击选项。

在弹出的捕获选项界面最下方的输入框中输入过滤语句点击开始即可抓包。

提示抓包过滤器的输入框会自动检测语法绿色代表语法正确红色代表语法错误。

2. 显示过滤器

显示过滤器在抓包后或者抓包的过程中使用。

1语法结构

显示过滤器的语法包含5个核心元素IP、端口、协议、比较运算符和逻辑运算符。

1. IP地址ip.addr、ip.src、ip.dst
2. 端口tcp.port、tcp.srcport、tcp.dstport
3. 协议tcp、udp、http
4. 比较运算符> < == >= <= !=
5. 逻辑运算符and、or、not、xor有且仅有一个条件被满足

5个核心元素可以自由组合比如

• ip.addr == 192.168.32.121显示IP地址为 192.168.32.121 的数据包
• tcp.port == 80 显示端口为 80 的数据包

2使用方式

在过滤栏输入过滤语句修改后立即生效。

提示过滤栏有自动纠错功能绿色表示语法正确红色表示语法错误。