Wireshark 是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark 使用 WinPCAP 作为接口，直接与网卡进行数据报文交换。

这篇文章教大家 WireShark 抓包及常用协议分析

以下有视频版还有文字版

不知道怎么操作的请看文字版的，里面详细的步骤。

关注公众号侠盗男爵回复【kali 系统】

视频版↓：

网络安全/kali/黑客/web安全/渗透测试/-3-5个月网络安全全套课程-小白入门到精通！_哔哩哔哩_bilibili

文字版↓：

年底了号主把我自己用到所有技术“做过的实战项目-内网实战靶场环境-渗透工具”还有很多渗透思维图谱！

WireShark 的应用

网络管理员使用 Wireshark 来检测网络问题，网络安全工程师使用 Wireshark 来检查资讯安全相关问题，开发者使用 Wireshark 来为新的通讯协议除错，普通使用者使用 Wireshark 来学习网络协议的相关知识。当然，有的人也会“居心叵测”的用它来寻找一些敏感信息……

WireShark 快速分析数据包技巧

（1） 确定 Wireshark 的物理位置。如果没有一个正确的位置，启动 Wireshark 后会花费很长的时间捕获一些与自己无关的数据。

（2） 选择捕获接口。一般都是选择连接到 Internet 网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。

（3） 使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获数据。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。

（4） 使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。

（5） 使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。

（6） 构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。

（7） 重组数据。当传输较大的图片或文件时，需要将信息分布在多个数据包中。这时候就需要使用重组数据的方法来抓取完整的数据。Wireshark 的重组功能，可以重组一个会话中不同数据包的信息，或者是重组一个完整的图片或文件。

本节课主要分析以下几种协议类型。

ARP 协议

ICMP 协议

TCP 协议

UDP 协议

DNS 协议

HTTP 协议

使用 WireShark 进行抓包

启动 WireShark

选择我们的网卡

双击网卡之后就会自动进行抓包

混杂模式介绍

1、混杂模式概述：混杂模式就是接收所有经过网卡的数据包，包括不是发给本机的包，即不验证 MAC 地址。普通模式下网卡只接收发给本机的包（包括广播包）传递给上层程序，其它的包一律丢弃。

一般来说，混杂模式不会影响网卡的正常工作，多在网络监听工具上使用。

2、关闭和开启混杂模式方法

关闭和开启混杂模式前，需要停止当前抓包。如下，停止捕获。

在程序的工具栏中点击“ 捕获 ”---》“ 选项 ”

在选项设置界面中的“ 输出 ”设置栏的左下方勾选“ 在所有接口上使用混杂模式 ”

这样就开启了。默认就是开启混杂模式。

WireShark 的过滤器使用

我们开启混淆模式来做一下感受，我们再次捕获---在所有接口上使用混杂模式就可以直接进行抓包

下面我们打开浏览器访问以下百度。

访问完成后点击停止抓包即可，我们不需要抓太多的数据包。

我们可以看到有很多数据包但是我们怎么才能找到对应的数据包类型呢？

这里就是我们的过滤器，我们可以根据自己的条件筛选自己想要的数据包。

例 1：使用过滤器筛选 TCP 的数据包

注意：筛选条件我们都使用小写就好了，大写的话会不识别。

例 2：使用过滤器筛选 arp 的数据包

例 3：使用过滤器筛选 udp 的数据包

我们使用过滤器输入“udp”以筛选出 udp 报文。但是为什么输入 udp 之后出现那么多种协议呢？原因就是 oicq 以及 dns 都是基于 udp 的传输层之上的协议

扩展：客户端向 DNS 服务器查询域名，一般返回的内容都不超过 512 字节，用 UDP 传输即可。不用经过三次握手，这样 DNS 服务器负载更低，响应更快。理论上说，客户端也可以指定向 DNS 服务器查询时用 TCP，但事实上，很多 DNS 服务器进行配置的时候，仅支持 UDP 查询包。

例 4：使用过滤器筛选 http 的数据包

例 5：使用过滤器筛选 dns 的数据包

其实我们不仅可以对协议类型进行筛选，我们还有跟多的筛选条件，比如源地址目的地址等等。。。

例 6：筛选源地址是 192.168.1.53 或目的地址是 192.168.1.1

在终端 ping 192.168.1.1

然后修改筛选器条件为：

ip.src_host == 192.168.1.53 or ip.dst_host == 192.168.1.1

这个判断条件是什么意思呢？

ip.src_host == 192.168.1.53 表示源 IP 地址

ip.dst_host == 192.168.1.1 表示目的地址

我们中间用 or 进行了拼接，表示或 当然我们也可以使用 and 表示与，or 表示满足左右其中一个条件就会显示符合条件的数据包，and 表示左右 2 个条件都满足才会显示。

or

and

我们可以很直观的看到结果的不同。