Wireshark的使用（抓包、過濾器）

Wireshark這個轉包工具的簡單實用

操作方法

（01）Wireshark是世界上最流行的網絡分析工具。這個強大的工具可以捕捉網絡中的數據，併為用户提供關於網絡和上層協議的各種信息。與很多其他網絡工具一樣，Wireshark也使用pcapnetwork library來進行封包捕捉。可破解局域網內QQ、郵箱、msn、賬號等的密碼！！    wireshark的原名是Ethereal，新名字是2006年起用的。當時Ethereal的主要開發者決定離開他原來供職的公司，並繼續開發這個軟件。但由於Ethereal這個名稱的使用權已經被原來那個公司註冊，Wireshark這個新名字也就應運而生了。在成功運行Wireshark之後，我們就可以進入下一步，更進一步瞭解這個強大的工具。下面是一張地址為的計算機正在訪問“”網站時的截圖。

（02）1. MENUS（菜單）

（03）2. SHORTCUTS（快捷方式）

（04）3. DISPLAYFILTER（顯示過濾器）

（05）4. PACKET LISTPANE（封包列表）

（06）5. PACKET DETAILSPANE（封包詳細信息）

（07）6. DISSECTOR PANE（16進制數據）

（08）7. MISCELLANOUS（雜項）

（09）1. 捕捉過濾器捕捉過濾器的語法與其它使用Lipcap（Linux）或者Winpcap（Windows）庫開發的軟件一樣，比如著名的TCPdump。捕捉過濾器必須在開始捕捉前設置完畢，這一點跟顯示過濾器是不同的。設置捕捉過濾器的步驟是：- 選擇 capture -> options。- 填寫"capture filter"欄或者點擊"capturefilter"按鈕為您的過濾器起一個名字並保存，以便在今後的捕捉中繼續使用這個過濾器。- 點擊開始（Start）進行捕捉。

（10）語法：ProtocolDirectionHost(s)ValueLogical OperationsOther expression例子：andtcp dst 3128Protocol（協議）:可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl,tcp and udp.如果沒有特別指明是什麼協議，則默認使用所有支持的協議。Direction（方向）:可能的值: src, dst, src and dst, src or dst如果沒有特別指明來源或目的地，則默認使用 "src or dst" 作為關鍵字。例如，"host "與"src or dst host "是一樣的。Host(s):可能的值： net, port, host, portrange.如果沒有指定此值，則默認使用"host"關鍵字。例如，"src "與"src host "相同。 LogicalOperations（邏輯運算）:可能的值：not, and, or.否("not")具有最高的優先級。或("or")和與("and")具有相同的優先級，運算時從左至右進行。例如，"not tcp port 3128 and tcp port 23"與"(not tcp port 3128) and tcpport 23"相同。"not tcp port 3128 and tcp port 23"與"not (tcp port 3128 and tcpport 23)"不同。

（11）例子：tcp dst port 3128顯示目的TCP端口為3128的封包。ip src host 顯示來源IP地址為的封包。host 顯示目的或來源IP地址為的封包。src portrange 2000-2500顯示來源為UDP或TCP，並且端口號在2000至2500範圍內的封包。not imcp顯示除了icmp以外的所有封包。（icmp通常被ping工具使用）src host and not dst net 顯示來源IP地址為，但目的地不是的封包。(src host or src net ) and tcp dstportrange 200-10000 and dst net 顯示來源IP為或者來源網絡為，目的地TCP端口號在200至10000之間，並且目的位於網絡內的所有封包。

（12）注意事項：當使用關鍵字作為值時，需使用反斜槓“”。"ether proto ip" (與關鍵字"ip"相同).這樣寫將會以IP協議作為目標。"ip proto icmp" (與關鍵字"icmp"相同).這樣寫將會以ping工具常用的icmp作為目標。可以在"ip"或"ether"後面使用"multicast"及"broadcast"關鍵字。當您想排除廣播請求時，"no broadcast"就會非常有用。查看 TCPdump的主頁以獲得更詳細的捕捉過濾器語法説明。在Wiki Wireshark website上可以找到更多捕捉過濾器的例子。

（13）2. 顯示過濾器：通常經過捕捉過濾器過濾後的數據還是很複雜。此時您可以使用顯示過濾器進行更加細緻的查找。它的功能比捕捉過濾器更為強大，而且在您想修改過濾器條件時，並不需要重新捕捉一次。語法：ng ng 2ComparisonoperatorValueLogicalOperationsOtherexpression例子：ftppassiveip==Protocol（協議）:您可以使用大量位於OSI模型第2至7層的協議。點擊"Expression..."按鈕後，您可以看到它們。比如：IP，TCP，DNS，SSH

（14）您同樣可以在如下所示位置找到所支持的協議：

（15）Wireshark的網站提供了對各種 協議以及它們子類的説明。 String1,String2 (可選項):協議的子類。點擊相關父類旁的"+"號，然後選擇其子類。

（16）Comparisonoperators （比較運算符）:

（17）例子