Wireshark(原名Ethereal)是一款功能强大的网络数据包分析工具,主要用于捕获网络中的数据包,并以高度详细的方式展示其内容。该软件依托WinPCAP接口,可直接与网络适配器交互,实现底层报文的收发。凭借其出色的解析能力与丰富的协议支持,Wireshark已成为全球应用最广泛的网络分析软件之一。本文将简要介绍其常用操作语法,帮助用户快速掌握基本使用方法,提升网络故障排查与协议分析的效率。
1、 在百度软件中心搜索Wireshark,可快速找到下载链接,点击后即可将软件下载并安装到电脑中。
2、 启动程序后,选取当前使用的或指定的网络适配器。
3、 选择网卡后,软件将自动启动数据包捕获。
4、 若需对IP进行过滤,可使用ip.src == 192.168.1.220或ip.dst == 192.168.1.220,也可直接使用ip.addr == 192.168.1.220。这三种方式均能有效筛选出包含该IP的数据包,无论是作为源地址还是目标地址,均可完整显示通信双方的IP信息。
5、 若需过滤端口,可使用tcp.port == 80,此命令将显示所有源端口或目的端口为80的数据包。
6、 仅显示目标端口为80的TCP协议数据包。
7、 仅显示TCP协议中源端口号为80的数据包。
8、 若需过滤特定协议,可直接输入协议名称进行筛选,如tcp、udp、arp、icmp、http、smtp、ftp、dns、msnms、ip、ssl、oicq、bootp等,系统将根据输入的协议类型自动过滤相应数据流量。
9、 若需按MAC地址进行过滤,可使用如下命令:通过eth.dst == 44:8A:5B:E2:58:00筛选目标MAC地址;使用eth.src == 44:8A:5B:E2:58:00过滤源MAC地址。也可将多个条件组合,如同时设置源和目的MAC地址的匹配规则,提升抓包或分析的精确度。此类语法常用于网络抓包工具中,帮助快速定位特定设备的数据流。
10、 若需按数据包长度进行过滤,可使用相应命令实现。例如,udp.length == 27表示UDP头部固定8字节与其负载数据之和;tcp.len >= 7用于筛选TCP负载部分的长度,不包含TCP头部本身;ip.len == 94指IP层及以上部分的总长度,包括IP头部和其后所有数据,但不包括以太网头部的14字节;而frame.len == 119则代表整个数据帧的总长度,从以太网头部开始直至末尾,涵盖所有层级的头部与数据内容。通过这些条件可精准定位特定长度的数据包。
