本文由CSDN-蚍蜉撼青松 【主页:http://blog.csdn.net/howeverpf】原创,转载请注明出处!
你在百度上输入关键字“Wireshark、使用、教程”,可以找到一大堆相关的资料。那么问题来了,
前面你能搜到的那些资料,大部分可能存在两个小问题:
“启动软件-->选定网卡(网络接口卡的俗称,一般也简称为接口,即Interface)并开始抓包-->停止抓包-->数据包保存”
图2 新版Wireshark引导界面中与数据包实时捕获相关的部分
该部分存在三个快捷按钮,分别是:Interface List(网卡详细信息列表)、Start(开始抓包),以及Capture Options(捕获选项)。其中“Start”按钮下方是一个简要的网卡列表。当我们在自己的PC上使用Wireshark时,一般我们都对PC上各个网卡的运行情况比较清楚。比如我现在没有插网线,使用的是室友共享出来的WiFi,那正在通信的肯定就只有无线网卡。所以我要抓包,就要先点选图2中“Start”按钮下方的“无线网络连接”(若需复选,使用Ctrl键)【中下方黑色方框标注】,然后点击“Start”按钮【中上方黑色椭圆框标注】,Wireshark就开始抓包了。
有些时候我们可能不是很清楚主机上的网卡运行情况,这个时候就需要先点击图2中的“Interface List”按钮,弹出如下的网卡详细信息列表,
图3 网卡详细信息列表
上图中可以直观地看到各个网卡的上下行数据包计数【右上方黑色圆角方框标注】,根据这一信息,我们可以很明显看出当前只有“无线网络连接”在通信,因此勾选该网卡前面的复选框【左上方靛青色椭圆框标注】,然后点击“Start”按钮【中下方黑色椭圆框标注】,Wireshark也就开始抓包了。
想抓的数据包抓完了,就要让Wireshark停下来。停止抓包有三种基本的方式,
【第四个方形的按钮,图5中黑色椭圆框标注】
图4 Capture菜单
图5 工具栏
完成数据包的捕获后,可能我们并不急着马上做分析,或者说当前能做的分析还不够完整,需要后面来加深……如此种种,我们需要用文件保存这些数据包。
保存数据包也有三种方式,
【第7个按钮,图5中黑色圆角方框标注】而后弹出如下的窗口,
图6 Wireshark支持的数据包存储格式
新版Wireshark存储数据包的时候支持很多格式【图6中黑色圆角方框标注】。可以看到,默认使用的保存类型是pcapng,这可能是一个优点很多的格式,但出于兼容性的考虑,我还是建议你在存包的时候把存储格式设置为第二个选项【图6的黑色圆角方框中着色标注】。这主要是因为pcapng还是一个新玩意,支持他的软件还不够多。
有时候,我们捕获的数据包不止是自己看,还要给同伴分析,如果你的同伴使用的是1.8.x以前的Wireshark版本或者其它他更顺手的工具,那么在业界获得广泛支持的pcap格式一定能为你们的沟通架起快捷的大桥。
保存数据包时,左下角还有一个选项“Compress with gzip”【图6中黑色椭圆框标注】,如果你勾选了这个选项,那么会对保存的文件再进行gzip压缩。一般保存数据包的时候都不需要特别勾选这个选项,因为数据包少的时候根本没压缩的必要,数据包多的时候也完全可以保存了文件之后,自己再用压缩软件打包。
至此,最基本的抓包流程就算是介绍完了,本文到此结束,下篇文章将会介绍Capture Options各项的含义与设置,欢迎继续关注!
------本文由CSDN-蚍蜉撼青松【主页:http://blog.csdn.net/howeverpf】原创,转载请注明出处!------
Wireshark入门与进阶---数据包捕获与保存的最基本流程
原文地址:http://blog.csdn.net/howeverpf/article/details/40687049
