wireshark抓包用法以及資料包分析系列教程是什麼一

Wireshark是一個抓取網路資料包的工具，這對分析網路問題是很重要的，下文將會簡單的介紹下如何使用Wireshark來抓包。 1、在如下連結下載“Wireshark”並在電腦上安裝。 2、如果之前沒有安裝過“Winpcap”請在下面把安裝“Winpcap”的勾選上。 3、開啟

wireshark能獲取HTTP，也能獲取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的內容，如果是處理HTTP,HTTPS 還是用Fiddler, 其他協議比如TCP,UDP 就用wireshark.。

材料/工具

360安全瀏覽器、wireshark軟體

Wireshark是一個抓取網路資料包的工具，這對分析網路問題是很重要的，下文將會簡單的介紹下如何使用Wireshark來抓包。1、在如下連結下載“Wireshark”並在電腦上安裝。2、如果之前沒有安裝過“Winpcap”請在下面把安裝“Winpcap”的勾選上。3、開啟安

抓包方法

首先在360瀏覽器中搜索“wireshark官網”並點選下面的連結（如下圖）

你是網路管理員嗎？你是不是有過這樣的經歷：在某一天的早上你突然發現網路效能急劇下降，網路服務不能正常提供，伺服器訪問速度極慢甚至不能訪問，網路交換機埠指示燈瘋狂地閃爍、網路出口處的路由器已經處於滿負荷的工作狀態、路由器CPU已經

進入後點擊下載圖示（如下圖）

用39系列交換機映象抓包配置方法： 一、3900埠映象配置 步驟一 ：[Quidway]mirroring-group 1 local 說明：建立埠映象組 步驟二：[Quidway]mirroring-group 1 monitor-port Ethernet 1/0/22 說明：建立映象目的埠 22 備註將電腦的網線接在

選擇自己的系統下載相應的版本（如下圖）

如果是Windows下可以使用科萊網路分析系統，使用技術交流版即可滿足一般的需求。與Wireshark一樣，也是通過抓取網路資料包來進行分析。 關鍵是科萊有官方論壇和教程，軟體是全中文，軟體也自帶一些分析建議，相信你不用在這裡找人給圖文講解也能

下載好後進行安裝（如下圖）

【WireShark概覽】 1、Wireshark 是網路報文分析工具。網路報文分析工具的主要作用是嘗試捕獲網路報文， 並嘗試顯示報文儘可能詳細的內容。過去的此類工具要麼太貴，要麼是非公開的。 直到Wireshark（Ethereal）出現以後，這種情況才得以改變。W

安裝完後開啟“wireshark”，選擇下面抓包來源並點選“捕獲”（如下圖）

啟動wireshark後，選擇工具欄中的快捷鍵（紅色標記的按鈕）即可Start a new live capture。 主介面上也有一個interface list（如下圖紅色標記1），列出了系統中安裝的網絡卡，選擇其中一個可以接收資料的的網絡卡也可以開始抓包。 在啟動時候也許會

點選“開始”進行抓包（如下圖）

、電腦做wifi熱點，手機連上後電腦上使用wireshark抓包 該方法手機無須root，並且適用於各種有wifi功能的手機（IOS、android等）、平板等。只要電腦的無線網絡卡具有無線承載功能，就可以。方法如下： 1.把電腦的網路做為熱點 2.開啟wifi熱點後，

抓包完成後點選左上角的“停止”圖示即可結束抓包（如下圖）

點Main Toolbar的倒數第三個按鈕。或者點View選單的Coloring Rules（倒數第三個），可以看到對應的顏色規則。 綠色背景（黑字）的是HTTP包，灰色背景（黑字）的是TCP包。 黑色背景的比較多，黑底紅字的是TCP錯誤包或者校驗和錯誤的包。

資料分析

點選上面的某個包，可以檢視具體內容，對應著五層協議：

-A 以ASCII碼方式顯示每一個數據包(不會顯示資料包中鏈路層頭部資訊). 在抓取包含網頁資料的資料包時, 可方便檢視資料(nt: 即Handy for capturing web pages). -X 當分析和列印時, tcpdump 會列印每個包的頭部資料, 同時會以16進位制和ASCII碼形式

①Frame：物理層的資料幀概況；

廣播是一臺主機向網路中所有主機發送資料包，廣播的目的地址不同於單播單一的地址。 廣播有兩類：定向廣播和有限廣播 1、定向廣播是將資料包傳送到向本網路之外的特定網路所有主機，定向廣播的目的地址是定向網路的廣播地址，如當前網路為192.16

②Ethernet II：資料鏈路層乙太網幀頭部資訊；

點Main Toolbar的倒數第三個按鈕。或者點View選單的Coloring Rules（倒數第三個），可以看到對應的顏色規則。 綠色背景（黑字）的是HTTP包，灰色背景（黑字）的是TCP包。 黑色背景的比較多，黑底紅字的是TCP錯誤包或者校驗和錯誤的包。

③Internet Protocol Version 4：網際網路層IP包頭部資訊；

1. 呼叫 tshark, text2pcap 進行 system() 操作，並將結果發到流中，總體來說，在jvm呼叫shell 是效率比較低的 2. 使用 GitHub - kaitoy/pcap4j: A Java library for capturing, crafting, and sending packets. 它完全脫離wireshark了，只

④Transmission Control Protocol：傳輸層的資料段頭部資訊，此處是TCP協議；User Datagram Protocol：UDP協議；

啟動wireshark後，選擇工具欄中的快捷鍵（紅色標記的按鈕）即可Start a new live capture。 主介面上也有一個interface list（如下圖紅色標記1），列出了系統中安裝的網絡卡，選擇其中一個可以接收資料的的網絡卡也可以開始抓包。 在啟動時候也許會

⑤Hypertext Transfer Protocol：應用層的資訊，此處是HTTP協議。

隨便連線wifi熱點是很不安全，這裡簡單地用360免費wifi建立一個wifi熱點，通過手機（客戶端）連線，並用本機進行wireshark抓包分析客戶端請求的http協議。 http協議是明文傳輸的，但目前大部分的網站對於使用者的帳號密碼也還是未經加密傳輸的。這

物理層Frame：點選frame左邊的小圖示可以檢視物理層的數幀概況（如下圖）

抓取報文: 下載和安裝好Wireshark之後，啟動Wireshark並且在介面列表中選擇介面名，然後開始在此介面上抓包。例如，如果想要在無線網路上抓取流量，點選無線介面。點選Capture Options可以配置高階屬性，但現在無此必要。 點選介面名稱之後，就

Ethernet II：資料鏈路層乙太網幀頭部資訊（如下圖）

常用的抓包軟體，如wireshark wireshark是捕獲機器上的某一塊網絡卡的網路包，當你的機器上有多塊網絡卡的時候，你需要選擇一個網絡卡。 點選Caputre->Interfaces.. 出現下面對話方塊，選擇正確的網絡卡。然後點選"Start"按鈕, 開始抓包。 WireShark 主要

Internet Protocol Version 4：網際網路層IP包頭部資訊（如下圖）

Wireshark 一般在抓包的時候無需過濾，直接在資料分析時候過濾出來你想要的資料就成了。 1.具體為Capture->Interface->(選擇你的網絡卡)start 這時候資料介面就顯示了當前網絡卡的所有資料和協議了。 2.下來就是找到我們想要的資料 教你一些技巧，比

Transmission Control Protocol：傳輸層的資料段頭部資訊（如下圖）

抓包軟體是用來看傳輸的資料包報文內容的，不能用來看下載速度的 看下載速度要用流量監控類軟體。

Hypertext Transfer Protocol：應用層的資訊（如下圖）

啟動wireshark，選擇網絡卡，開始抓包 在過濾裡面輸入oicq 就把QQ的包都過濾出來了 按照源和目的地址的區分，可以且僅可以分析出你抓包物件的QQ號碼 QQ現在使用密文傳送，抓不出來聊天的內容了

擴充套件閱讀，以下內容您可能還感興趣。

用wireshark抓包sftp和ftp的區別

-A 以ASCII碼方式顯示每一個數據知包(不會顯示資料包中鏈路層頭部資訊). 在抓取包含網頁資料的資料包時, 可方便檢視資料(nt: 即Handy for capturing web pages).

-X 當分析和打道印時, tcpdump 會列印每個包的頭部資料, 同時會以16進位制和ASCII碼形式打印出每個包的資料(但不包括連線層的頭部).這對於分析一些新協議的資料包很方便.

-i eth1：指內定監聽的網路介面，可以使用ifconfig獲取容網路配置

host 資料包的源或目的地址是指定IP或者主機名

-w 資料包儲存到指定檔案

使用抓包軟體分析抓包，怎樣看廣播幀？哪些是廣播幀？我有wireshark和omnipeek軟體。

廣播是一臺主機向網路中所有百主機發送資料包，廣播的目的地址不同於單播單一的地址。

廣播有兩類：定向廣度播和有限廣播

1、定向廣播是將資料包傳送到向本網路之外的特定網路所有主機，定向廣播的目的地址是定向網路的廣播地址，如當知前網路為192.168.0.0/24,要向192.168.1.0/24的網路傳送定向道廣播，那麼定向廣播的目的地址是：專192.168.1.255。可以配置路由器讓其轉發定向廣播。

2、有限廣播是將資料包傳送到本地網路的所有主機，有限廣播使用的目的地址是:255.255.255.255.路由器不轉發此廣播。

所以屬看看是不是最後是255的就可以了

wireshark抓包，有的條顯示底色是黑色，這是壞包的意思嗎？如果是，該怎麼把這些包全部過濾掉？先謝謝了

點知Main Toolbar的倒數第三個按鈕。或者點View選單的Coloring Rules（倒數第三個），可以看到對應的顏色規則。

綠色背景（黑字道）的是HTTP包，灰色背景（黑字）的是TCP包。

黑色背景的比內較多，黑底紅字的是TCP錯誤包或者校驗和錯誤的包容。追問謝謝，那如果我想過濾掉所有的壞包，有沒有辦法？

java怎麼解析Wireshark抓包檔案

1. 呼叫 tshark, text2pcap 進行 system() 操作，並將結果zhidao發到流中，總體來說，內在jvm呼叫shell 是效率比較低的

2. 使用 GitHub - kaitoy/pcap4j: A Java library for capturing, crafting, and sending packets. 它完全脫離wireshark了，只是說libpcap的包裝，支援的協議不容是很全

如何設定wireshark抓包長度

啟動wireshark後，選擇工具欄中的快捷鍵（紅色標記的按鈕）即可Start a new live capture。

主介面上也有一個interface list（如下圖紅色標記1），列出了系統中安裝的網絡卡，選擇其中一個可以接收資料的的網絡卡也可以開始抓包。

在啟動時候也許會遇到這樣的問題：彈出一個對話方塊說 NPF driver 沒有啟動，無法抓包。在win7或Vista下找到C: \system\system32下的cmd.exe 以管理員身份執行，然後輸入 net start npf，啟動NPf服務。

重新啟動wireshark就可以抓包了。

抓包之前也可以做一些設定，如上紅色圖示記2，點選後進入設定對話方塊，具體設定如下：

Interface：指定在哪個介面（網絡卡）上抓包（系統會自動選擇一塊網絡卡）。

Limit each packet：*每個包的大小，預設情況不*。

Capture packets in promiscuous mode：是否開啟混雜模式。如果開啟，抓 取所有的資料包。一般情況下只需要監聽本機收到或者發出的包，因此應該關閉這個選項。

Filter：過濾器。只抓取滿足過濾規e69da5e6ba90e799bee5baa6e997aee7ad9431333361313836則的包。

File：可輸入檔名稱將抓到的包寫到指定的檔案中。

Use ring buffer： 是否使用迴圈緩衝。預設情況下不使用，即一直抓包。迴圈緩衝只有在寫檔案的時候才有效。如果使用了迴圈緩衝，還需要設定檔案的數目，檔案多大時回捲。

Update list of packets in real time：如果複選框被選中，可以使每個資料包在被截獲時就實時顯示出來，而不是在嗅探過程結束之後才顯示所有截獲的資料包。

單擊“OK”按鈕開始抓包，系統顯示出接收的不同資料包的統計資訊，單擊“Stop”按鈕停止抓包後，所抓包的分析結果顯示在面板中，如下圖所示：

為了使抓取的包更有針對性，在抓包之前，開啟了QQ的視訊聊天，因為QQ視訊所使用的是UDP協議，所以抓取的包大部分是採用UDP協議的包。

3、對抓包結果的說明

wireshark的抓包結果整個視窗被分成三部分：最上面為資料包列表，用來顯示截獲的每個資料包的總結性資訊；中間為協議樹，用來顯示選定的資料包所屬的協議資訊；最下邊是以十六進位制形式表示的資料包內容，用來顯示資料包在物理層上傳輸時的最終形式。本回答被提問者採納