wireshark抓包分析如何使用wireshark抓包分析udp

如何使用wireshark抓包

启动wireshark后，选择工具栏中的快捷键（红色标记的按钮）即可Start a new live capture。

主界面上也有一个interface list（如下图红色标记1），列出了系统中安装的网卡，选择其中一个可以接收数据的的网卡也可以开始抓包。

在启动时候也许会遇到这样的问题：弹出一个对话框说 NPF driver 没有启动，无法抓包。

在win7或Vista下找到C: systemsystem32下的cmd.exe 以管理员身份运行，然后输入 start npf，启动NPf服务。

重新启动wireshark就可以抓包了。

抓包之前也可以做一些设置，如上红色图标记2，点击后进入设置对话框，具体设置如下： Interface：指定在哪个接口（网卡）上抓包（系统会自动选择一块网卡）。

Limit each packet：限制每个包的大小，缺省情况不限制。

Capture packets in promiscuous mode：是否打开混杂模式。

如果打开，抓 取所有的数据包。

一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。

Filter：过滤器。

只抓取满足过滤规则的包。

File：可输入文件名称将抓到的包写到指定的文件中。

Use ring buffer： 是否使用循环缓冲。

缺省情况下不使用，即一直抓包。

循环缓冲只有在写文件的时候才有效。

如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。

Update list of packets in real time：如果复选框被选中，可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。

单击逗OK地按钮开始抓包，系统显示出接收的不同数据包的统计信息，单击逗地按钮停止抓包后，所抓包的分析结果显示在面板中，如下图所示： 为了使抓取的包更有针对性，在抓包之前，开启了的视频聊天，因为视频所使用的是UDP协议，所以抓取的包大部分是采用UDP协议的包。

3、对抓包结果的说明 wireshark的抓包结果整个窗口被分成三部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。

使用wireshark可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等。

上图的数据包列表中，第一列是编号（如第1个包），第二列是截取时间（0.000000），第三列source是源地址（115.155.39.93），第四列destination是目的地址（115.155.39.112），第五列protocol是这个包使用的协议（这里是UDP协议），第六列info是一些其它的信息，包括源端口号和目的端口号（源端口：58459，目的端口：54062）。

中间的是协议树，如下图： 通过此协议树可以得到被截获数据包的更多信息，如主机的MAC地址（ II）、IP地址（ protocol）、UDP端口号（user datagram protocol）以及UDP协议的具体内容（data）。

最下面是以十六进制显示的数据包的具体内容，如图： 这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便的对各种协议的数据包进行分析。

4、验证网络字节序 网络上的数据流是字节流，对于一个多字节数值（比如十进制1014 = 0x03 f6），在进行网络传输的时候，先传递哪个字节，即先传递高位逗03地还是先传递低位逗f6地。

也就是说，当接收端收到第一个字节的时候，它是将这个字节作为高位还是低位来处理。

下面通过截图具体说明： 最下面是物理媒体上传输的字节流的最终形式，都是16进制表示，发送时按顺序先发送00 23 54 c3 …00 03 f6 …接收时也按此顺序接收字节。

选中total length：1014， 它的十六进制表示是0x03f6， 从下面的蓝色选中区域可以看到，03在前面，f6在后面，即高字节数据在低地址，低字节数据在高地址（图中地址从上到下从左到右依次递增），所以可知，网络字节序采用的是大端模式。

如何解析抓包的数据wireshark

首先我们打开wireshark软件的主界面，在主界面上选择网卡，然后点击start。

wireshark即进入抓包分析过程。

在本篇我们选择以太网，进行抓包。

接下来再界面我们可以看到wireshark抓到的实时数据包。

我们对数据包的各个字段进行解释。

1.No:代表数据包标号。

2.Time：在软件启动的多长时间内抓到。

3.Source：来源ip。

4.Destination: 目的ip。

5.Protocol：协议。

6.Length:数据包长度。

7.info：数据包信息。

接下来我们点击解析后的某一条数据可以查看数据包的详细信息。

在抓包过程中，我们可以点击图标启动或者停止。

来启动或者停止抓取数据包。

接下来我们将简单介绍Filter处，对来源Ip以及目的Ip的过滤表达式的写法。

首先我们在Filter处填写ip.addr eq 192.168.2.101。

表示获取来源ip以及目的ip都是192.168.2.101的数据包。

（此处解释 eq 换成==同样的效果） 在Filter处填写：ip.src == 192.168.2.101。

表示获取来源地址为192.168.2.101的数据包。

在Filter处填写:ip.dst == 119.167.140.103。

表示获取目的地址为119.167.140.103的数据包。

在Filter处填写:ip.dst == 119.167.140.103 or ip.dst == 192.168.2.45。

表示获取目的地址为119.167.140.103或者192.168.2.45的数据包。

（此方法举例主要说明or的用法。

在or前后可以跟不同的表达式。

） 在Filter处填写:ip.dst == 119.167.140.103 and ip.src == 192.168.2.101。

表示获取目的地址为119.167.140.103且来源地址为192.168.2.101的数据包。

（此方法举例主要说明and 的用法）

wireshark如何抓包

Wireshark 一般在抓包的时候无需过滤，直接在数据分析时候过滤出来你想要的数据就成了。

1.具体为Capture->Interface->(选择你的网卡)start 这时候数据界面就显示了当前网卡的所有数据和协议了。

2.下来就是找到我们想要的数据 教你一些技巧，比如我们要找ip地址为192.168.2.110的交互数据 可以在 Filter:里面填写 ip.addr == 192.168.2.110 （回车或者点Apply就OK） 如果我们只想抓TCP的 ip.addr == 192.168.2.110 && tcp (注意要小写) 如果不想看到ACK ip.addr == 192.168.2.110 && tcp && tcp.len != 0 如果要看数据包中含有5252的值的数据（注意此处为16进制） ip.addr == 192.168.2.110 && tcp && tcp.len != 0 && (data.data contains 5252) 3. 含有很多过滤方法可以点击Express，里面有一些选项，自己多试试。

用好一个工具很重要，但要长期的积累才行，自己多使用，多看点教程就OK。

如何使用wireshark抓包分析udp

开始界面 wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。

然后点击"Start"按钮, 开始抓包 Wireshark 窗口介绍 WireShark 主要分为这几个界面 1. Display Filter(显示过滤器)， 用于过滤 2. Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。

颜色不同，代表 3. Packet Details Pane(封包详细信息), 显示封包中的字段 4. Dissector Pane(16进制数据) 5. Miscellanous(地址栏，杂项) Wireshark 显示过滤 使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。

搞得晕头转向。

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种， 一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录 一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。

在Capture -> Capture Filters 中设置 保存过滤 在Filter栏上，填好Filter的表达式后，点击Save按钮， 取个名字。

比如"Filter 102", Filter栏上就多了个"Filter 102" 的按钮。

过滤表达式的规则 表达式规则 1. 协议过滤 比如TCP，只显示TCP协议。

2. IP 过滤 比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102， ip.dst==192.168.1.102, 目标地址为192.168.1.102 3. 端口过滤 tcp.port ==80, 端口为80的 tcp.srcport == 80, 只显示TCP协议的愿端口为80的。

4. Http模式过滤 http.request.method=="GET", 只显示HTTP GET方法的。

5. 逻辑运算符为 AND/ OR 常用的过滤表达式 过滤表达式 用途 http 只查看HTTP协议的记录 ip.src ==192.168.1.102 or ip.dst==192.168.1.102 源地址或者目标地址是192.168.1.102 封包列表(Packet List Pane) 封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。

你可以看到不同的协议用了不同的颜色显示。

你也可以修改这些显示颜色的规则， View ->Coloring Rules. 封包详细信息 (Packet Details Pane) 这个面板是我们最重要的，用来查看协议中的每一个字段。

各行信息分别为 Frame: 物理层的数据帧概况 II: 数据链路层以太网帧头部信息 Protocol Version 4: 互联网层IP包头部信息 Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议 wireshark与对应的OSI七层模型 TCP包的具体内容 从下图可以看到wireshark捕获到的TCP包中的每个字段。

实例分析TCP三次握手过程 看到这， 基本上对wireshak有了初步了解， 现在我们看一个TCP三次握手的实例 三次握手过程为 这图我都看过很多遍了， 这次我们用wireshark实际分析下三次握手的过程。

打开wireshark, 打开浏览器输入 /tankxiao 在wireshark中输入http过滤， 然后选中GET /tankxiao HTTP/1.1的那条记录，右键然后点击"Follow TCP Stream", 这样做的目的是为了得到与浏览器打开网站相关的数据包，将得到如下图 图中可以看到wireshark截获到了三次握手的三个数据包。

第四个包才是HTTP的， 这说明HTTP的确是使用TCP建立连接的。

第一次握手数据包 客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。

如下图 第二次握手的数据包 服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图 第三次握手的数据包 客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图: 就这样通过了TCP三次握手，建立了连接