wireshark抓包分析wireshark怎么抓包？

wireshark怎么抓包分析tcp协议的四次挥手

启动wireshark后，选择工具栏中的快捷键（红色标记的按钮）即可Start a new live capture。

主界面上也有一个interface list（如下图红色标记1），列出了系统中安装的网卡，选择其中一个可以接收数据的的网卡也可以开始抓包。

如何通过wireshark进行抓包的分析

private void MyPrintPage(object sender, System.Drawing.Printing.PrintPageEventArgs e) public static boolean isNumeric(String str){ if(str.matches("//d*"){ return true; }else{ return false; } }

如何通过wireshark进行抓包的分析？

Wireshark是一个网络协议检测工具，支持Windows平台和Unix平台，我一般只在Windows平台下使用Wireshark，如果是Linux的话，我直接用tcpdump了，因为我工作环境中的Linux一般只有字符界面，且一般而言Linux都自带的tcpdump，或者用tcpdump抓包以后用Wireshark打开分析。

tcpdump是基于Unix系统的命令行式的数据包嗅探工具。

如果要使用tcpdump抓取其他主机MAC地址的数据包，必须开启网卡混杂模式，所谓混杂模式，用最简单的语言就是让网卡抓取任何经过它的数据包，不管这个数据包是不是发给它或者是它发出的。

如何分析wireshark抓到的包

首先我们打开wireshark软件的主界面，在主界面上选择网卡，然后点击start。

wireshark即进入抓包分析过程。

在本篇我们选择以太网，进行抓包。

接下来再界面我们可以看到wireshark抓到的实时数据包。

我们对数据包的各个字段进行解释。

1No:代表数如何分析wireshark抓到的包

如何学习wireshark？主要是分析它抓的包，理解它抓出来的包展示的意思。

Wireshark抓包工具使用教程以及常用抓包规则 软件推荐 楚林 3年前 (2011-12-01) 1092浏览 0[复制本文链接] Wireshark是一个非常好用的抓包工具，当我们遇到一些和网络相关的问题时，可以通过这个工具进行分析，不过要说明的是，这只是一个工具，用法是非常灵活的，所以今天讲述的内容可能无法直接帮你解决问题，但是只要你有解决问题的思路，学习用这个软件就非常有用了。

Wireshark官方下载地址：//wireshark_filters/dos/grcdos.htm?). ICMP (网间控制消息协议 Control Message Protocol) 如同名字一样， ICMP用来在主机/路由器之间传递控制信息的协议。

ICMP包可以包含诊断信息(ping, traceroute – 注意目前unix系统中的traceroute用UDP包而不是ICMP)，错误信息(网络/主机/端口...Wireshark抓包工具使用教程以及常用抓包规则 软件推荐 楚林 3年前 (2011-12-01) 1092浏览 0[复制本文链接] Wireshark是一个非常好用的抓包工具，当我们遇到一些和网络相关的问题时，可以通过这个工具进行分析，不过要说明的是，这只是一个工具，用法是非常灵活的，所以今天讲述的内容可能无法直接帮你解决问题，但是只要你有解决问题的思路，学习用这个软件就非常有用了。

Wireshark官方下载地址：//wireshark_filters/dos/grcdos.htm?). ICMP (网间控制消息协议 Control Message Protocol) 如同名字一样， ICMP用来在主机/路由器之间传递控制信息的协议。

ICMP包可以包含诊断信息(ping, traceroute – 注意目前unix系统中的traceroute用UDP包而不是ICMP)，错误信息(网络/主机/端口 不可达work/host/port unreachable), 信息(时间戳timestamp, 地址掩码address mask request, etc.)，或控制信息 (source quench, redirect, etc.) 。

你可以在/assignments/icmp-parameters?中找到ICMP包的类型。

尽管ICMP通常是无害的，还是有些类型的ICMP信息需要丢弃。

Redirect (5), Alternate Host Address (6), Router Advertisement (9) 能用来转发通讯。

Echo (8), Timestamp (13) and Address Mask Request (17) 能用来分别判断主机是否起来，本地时间 和地址掩码。

注意它们是和返回的信息类别有关的。

它们自己本身是不能被利用的，但它们泄露出的信息对攻击者是有用的。

ICMP消息有时也被用来作为DOS攻击的一部分(例如：洪水ping flood ping,死 ping ?呵呵，有趣 ping of death)?/p> 包碎片注意A Note About Packet Fragmentation 如果一个包的大小超过了TCP的最大段长度MSS (Maximum Segment Size) 或MTU (Maximum Transmission Unit)，能够把此包发往目的的唯一方法是把此包分片。

由于包分片是正常的，它可以被利用来做恶意的攻击。

因为分片的包的第一个分片包含一个包头，若没有包分片的重组功能，包过滤器不可能检测附加的包分片。

典型的攻击Typical attacks involve in overlapping the packet data in which packet header is 典型的攻击Typical attacks involve in overlapping the packet data in which packet header isnormal until is it overwritten with different destination IP (or port) thereby bypassing firewall rules。

包分片能作为 DOS 攻击的一部分，它可以crash older IP stacks 或涨死CPU连接能力。

Netfilter/Iptables中的连接跟踪代码能自动做分片重组。

它仍有弱点，可能受到饱和连接攻击，可以把CPU资源耗光。

OK，到此为止，关于Wireshark抓包工具的一些小教程已经写完了，而导致我想写这么一个纠结的教程的原因是，前几天通过这个抓包解决了梦幻西游在网维大师无盘上容易掉线的问题，当时捕捉到梦幻西游掉线时的数据包是这样的。

注意下图中的红色数据，123.58.184.241是梦幻西游的服务器，而192.168.1.41是玩梦幻西游的客户机，在掉线时，发现是先有梦幻西游的服务器向客户机发送一个[FIN,ACK]数据包，根据上面的解释，FIN标记的数据包是代表要断开连接的意思，而接着客户机又回给服务器一个确认断开链接包。

当看到这个抓包数据时，就意识到，大家说的在网维大师系统虚拟盘上梦幻爱掉线的问题，并非普通的网络问题，因为通过数据包的信息来看，是梦幻服务器主动要求断开链接，产生这个情况无非是以下几个原因： 1、服务器发现客户端非法，比如有外挂什么的，踢掉了客户机； 2、服务器压力大，踢掉了客户机； 3、总之不是客户端问题导致的掉线； 那么既然结论是如此，为什么会有在网维大师系统虚拟盘上容易出现梦幻掉线问题呢？原因是由于网维大师系统虚拟盘是模拟真实硬盘方式来实现的，而在模拟过程中，将硬盘的序列号设置为固定过的OSDIY888了，而梦幻西游刚好后识别客户机硬盘信息，发现大量客户端的硬盘序列号都是一样的，就认为是作弊或者使用挂机外挂了，结果就导致随机被服务器踢下线的情况发生，后来我们将硬盘序列号设置为空，则没再出现该问题。

这个问题在未来的新版本中会解决掉。

说这个案例的目的并不是为了说明抓包多有用，而是想说明一些解决问题的思路和方法，有些人是有思路，但是缺方法，比如不会用工具，而有些人收集了很多工具却不会用，而我其实就属于后者，几年前就收集了n多工具，但是用到的没几个。

慢慢的学会用这些工具后，发现思维+工具，解决问题是效率暴增，接下来的几天里，会陆续介绍写小工具给大家，也希望大家有空学习下，有问题先百度，再自己摸索，而不是一味的求助，毕竟求人不如求己！自己能直接搞定，是皆大欢喜的事情~ 另外还有一些网络监视相关的小工具也非常好用，这里就在这个帖子里简单介绍一下： 1、CurrPorts：这是一个可以显示系统进程联网状态的工具，他能显示哪个进程链接了哪个IP地址，哪个端口，使用的什么协议，本地端口是多少，本地IP地址是多少等等，而且他还提供了记录网络连接创建信息，点界面左上角的“文件”=》“记录变化到日志”就可以记录日志了。

2、Tcpview：和CurrPorts差不多的工具。

3、X-NetStat Professional：这个工具除了继承了CurrPorts的所有功能，同时还支持每个进程链接的IP地址使用的流量是多少，但是这个工具不要长时间开着，否则可能导致无盘客户机无法获得DHCP问题，只是随机出现，大家注意下就行了。

这些工具都可以通过本站顶部的“小工具”链接打开工具军火库，然后在NetWork_analysis_Tools分类下就可以下载到了。

wireshark怎么抓包？

wireshark是非常流行的网络封包分析软件，功能十分强大。

可以截取各种网络封包，显示网络封包的详细信息。

使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。

为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark. wireshark 开始抓包 开始界面 wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。

然后点击"Start"按钮, 开始抓包 Wireshark 窗口介绍 WireShark 主要分为这几个界面 1. Display Filter(显示过滤器)， 用于过滤 2. Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。

颜色不同，代表 3. Packet Details Pane(封包详细信息), 显示封包中的字段 4. Dissector Pane(16进制数据) 5. Miscellanous(地址栏，杂项) 使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。

搞得晕头转向。

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种， 一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录 一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。

在Capture -> Capture Filters 中设置 保存过滤 在Filter栏上，填好Filter的表达式后，点击Save按钮， 取个名字。

比如"Filter 102", Filter栏上就多了个"Filter 102" 的按钮。

过滤表达式的规则 表达式规则 1. 协议过滤 比如TCP，只显示TCP协议。

2. IP 过滤 比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102， ip.dst==192.168.1.102, 目标地址为192.168.1.102 3. 端口过滤 tcp.port ==80, 端口为80的 tcp.srcport == 80, 只显示TCP协议的愿端口为80的。

4. Http模式过滤 http.request.method=="GET", 只显示HTTP GET方法的。

5. 逻辑运算符为 AND/ OR 常用的过滤表达式 过滤表达式 用途 http 只查看HTTP协议的记录 ip.src ==192.168.1.102 or ip.dst==192.168.1.102 源地址或者目标地址是192.168.1.102 封包列表(Packet List Pane) 封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。

你可以看到不同的协议用了不同的颜色显示。

你也可以修改这些显示颜色的规则， View ->Coloring Rules. 封包详细信息 (Packet Details Pane) 这个面板是我们最重要的，用来查看协议中的每一个字段。

各行信息分别为 Frame:物理层的数据帧概况 II:数据链路层以太网帧头部信息 Protocol Version 4:互联网层IP包头部信息 Transmission Control Protocol:传输层T的数据段头部信息，此处是TCP Hypertext Transfer Protocol:应用层的信息，此处是HTTP协议 TCP包的具体内容 从下图可以看到wireshark捕获到的TCP包中的每个字段。

看到这， 基本上对wireshak有了初步了解， 现在我们看一个TCP三次握手的实例 三次握手过程为 这图我都看过很多遍了， 这次我们用wireshark实际分析下三次握手的过程。

打开wireshark, 打开浏览器输入 在wireshark中输入http过滤， 然后选中GET /tankxiao HTTP/1.1的那条记录，右键然后点击"Follow TCP Stream", 这样做的目的是为了得到与浏览器打开网站相关的数据包，将得到如下图 图中可以看到wireshark截获到了三次握手的三个数据包。

第四个包才是HTTP的， 这说明HTTP的确是使用TCP建立连接的。

第一次握手数据包 客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。

如下图 第二次握手的数据包 服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图 第三次握手的数据包 客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图: 就这样通过了TCP三次握手，建立了连接