Wireshark抓包分析

wireshark怎么抓包、wireshark抓包详细图文教程

wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。

为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark.

wireshark 开始抓包 开始界面

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包

Wireshark

窗口介绍

WireShark 主要分为这几个界面

1. Display Filter(显示过滤器)， 用于过滤

2. Packet List Pane(封包列表)， 显示捕获到的封包， 有源

Wireshark抓包分析实验

若惜年

一、实验目的：

1.学习安装使用wireshark软件，能在电脑上抓包。

2.对抓出包进行分析，分析得到的报文，并与学习到的知识相互印证。

二、实验内容：

使用抓包软件抓取HTTP协议通信的网络数据和DNS通信的网络数据，分析对应的HTTP、TCP、IP协议和DNS、UDP、IP协议。

三、实验正文：

IP报文分析：

从图中可以看出： IP报文版本号为:IPV4 首部长度为:20 bytes 数据包长度为:40 标识符：0xd74b 标志：0x02 比特偏移：0 寿命：48

上层协议：TCP

首部校验和：0x5c12

源IP地址为：119.75.222.18 目的IP为：192.168.1.108

UDP:

从图中可以看出：

源端口号：1891 目的端口号：8000 udp报文长度为：28 检验和：0x58d7 数据长度：20 bytes

UDP协议是一种无需建立连接的协议，它的报文格式很简单。当主机中的DNS应用程序想要惊醒一次查询时，它构造一个DNS查询报文段并把它给UDP，不需要UDP之间握手，UDP为报文加上首部字段，将报

Wireshark

抓包分析

CONTENT

引言

1 利用wireshark抓取网页服务协议并分析 1.1 HTTP协议报文结构及分析 1.2 HTTPS是什么

1.3 HTTP与HTTPS的比较

1.4分别在网络空闲与网络繁忙时比较相关报文传送的区别 2 利用wireshark抓取邮件传输协议并分析 2.1 SMTP邮件发送协议的结构 2.2 POP3与IMAP协议结构的区别

2.3网页版收发邮件与邮件客户端收发时使用协议的比较 3 利用wireshark抓取ftp文件传输协议 3.1 ftp协议的格式及特点分析

4 分析DNS的解析过程

4.1“www.hzbook.com”域名解析实例分析 4.2“www.gatech.edu”域名解析实例分析

Ps：之前在写目录的时候觉得这样来分析分析会对应用层协议的理解更加全面一点，但是基于各种原因只是完成了黑色字体部分，而且还可能存在很多错误。有机会可以进一步完善。

引言

经过计算机网络基础前面时间的学习，使我们对网络应用层的协议有了一定的了解。协议就像一门语言，需要定义语法、语意和语序（时序、同步）。语法即为协议的具体格式；语意

Wireshark实现远程抓包

本文简述一下如何用wireshark和rpcapd实现远程抓包，服务器为LINUX，如果是windows服务器使用WinPcap也可以，windows服务器实现远程抓包有兴趣的可以研究下。 1. 下载下面的附件，通过SSH Secure Shell上传到要抓包的远程linux服务器的/opt目录下

rpcap.tar里面压缩的就是rpcapd rpcapd.sh这2个文件。

2.解压rpcapd.tar，输入命令：tar –xf rpcapd.tar

3.给文件添加可执行权限，输入命令：chmod 755 rpcapd rpcapd.sh 4.启动远程抓包进程，输入命令：./rpcapd –n

5.查看远程抓包进程是否启用，监听端口是2002，输入命令：netstat –natp | 2002

6.确定服务启用后就可以在本地的机器开启wireshark进行远程抓包，设置截图如下：

上述截图是远程抓取112.84.191.196这台服务器的eth0网卡的所有数据包，如果想抓取其他网卡的数据包，比如eth1只需更改eth0为eth1命令如下 rpcap://112.84.191.196:2002/eth1

用Wireshark捕获和分析以太网帧

一、实训目的

熟悉以太网帧的格式以及TCP协议

二、实训环境

虚拟机，WireShark软件、IE等软件。

三、实训内容 1、ARP分析 实验步骤：

1）开启两台虚拟机，PC1和PC2 2）登录PC1，清除ARP缓存

3）启动Wireshark，在界面中选择网络接口卡的类型，启动捕获 4）回到命令提示符窗口，ping PC2的IP地址，停止捕获 5）检查捕获的会话

6）在Filter工具条中，输入ARP，按下Enter，过滤捕获的会话，只显示ARP数据包 7）查看ARP缓存中的内容 思考：

1)、写下你主机ARP缓存中的内容。描述每一列的含义是什么？

2)、查看你捕获的ARP数据包，包含ARP请求报文的以太网帧的源地址和目的地址的十六进制值各是多少？ 、

3)、给出Frame头部Type字段的十六进制值。

4)、在ARP报文中是否包含发送方的IP地址？

5）、包含ARP响应(reply)报文的以太网帧中，源地址和目的地址的十六进制值各是多少？

第一次实验：利用Wireshark软件进行数据包抓取

1.3.2 抓取一次完整的网络通信过程的数据包实验 一，实验目的：

通过本次实验，学生能掌握使用Wireshark抓取ping命令的完整通信过程的数据包的技能，熟悉Wireshark软件的包过滤设置和数据显示功能的使用。 二，实验环境：

操作系统为Windows 7,抓包工具为Wireshark. 三，实验原理：

ping是用来测试网络连通性的命令，一旦发出ping命令，主机会发出连续的测试数据包到网络中，在通常的情况下，主机会收到回应数据包，ping采用的是ICMP协议。 四，验步骤：

1.确定目标地址：选择www.http://www.wodefanwen.com/作为目标地址。

2.配置过滤器：针对协议进行过滤设置，ping使用的是ICMP协议，抓包前使用捕捉过滤器，过滤设置为icmp,如图 1- 1

第一次实验：利用Wireshark软件进行数据包抓取

1.3.2 抓取一次完整的网络通信过程的数据包实验 一，实验目的：

通过本次实验，学生能掌握使用Wireshark抓取ping命令的完整通信过程的数据包的技能，熟悉Wireshark软件的包过滤设置和数据显示功能的使用。 二，实验环境：

操作系统为Windows 7,抓包工具为Wireshark. 三，实验原理：

ping是用来测试网络连通性的命令，一旦发出ping命令，主机会发出连续的测试数据包到网络中，在通常的情况下，主机会收到回应数据包，ping采用的是ICMP协议。 四，验步骤：

1.确定目标地址：选择www.http://www.wodefanwen.com/作为目标地址。

2.配置过滤器：针对协议进行过滤设置，ping使用的是ICMP协议，抓包前使用捕捉过滤器，过滤设置为icmp,如图 1- 1

Wireshark抓包及分析实验

学生姓名：

学号：___________________

任务分配日期：______________

课程名称： 计算机组网技术

WireShark实验报告 : 用Wireshark完成计算机网络协议分析

报告开始时间: __________ 报告截至日期: ______________

一． 实验的目的

本次实验的目的就是要学会wireshark抓包软件的基本使用方法，wireshark抓包的基本过程，以及对所抓到的数据包进行详细的分析并能很好的李杰一些基本的数据的含义。能达到对网络数据的基本的监控和查询的能力。

实验一 802.3协议分析和以太网

（一）实验目的

1、分析802.3协议

2、熟悉以太网帧的格式、了解ARP、ICMP、IP数据包格式

实验步骤：

1、捕获并分析以太帧

（1）清空浏览器缓存（在IE窗口中，选择“工具/Internet选项/删除文件”命令）。如下图

（2）启动WireShark，开始分组捕获。 （3）在浏览器的地址栏中输入： http://www.

Wireshark抓包及分析实验

学生姓名：

学号：___________________

任务分配日期：______________

课程名称： 计算机组网技术

WireShark实验报告 : 用Wireshark完成计算机网络协议分析

报告开始时间: __________ 报告截至日期: ______________

一． 实验的目的

本次实验的目的就是要学会wireshark抓包软件的基本使用方法，wireshark抓包的基本过程，以及对所抓到的数据包进行详细的分析并能很好的李杰一些基本的数据的含义。能达到对网络数据的基本的监控和查询的能力。

实验一 802.3协议分析和以太网

（一）实验目的

1、分析802.3协议

2、熟悉以太网帧的格式、了解ARP、ICMP、IP数据包格式

实验步骤：

1、捕获并分析以太帧

（1）清空浏览器缓存（在IE窗口中，选择“工具/Internet选项/删除文件”命令）。如下图

（2）启动WireShark，开始分组捕获。 （3）在浏览器的地址栏中输入： http://www.

一． 实验的目的

本次实验的目的就是要学会wireshark抓包软件的基本使用方法，wireshark抓包的基本过程，以及对所抓到的数据包进行详细的分析并能很好的李杰一些基本的数据的含义。能达到对网络数据的基本的监控和查询的能力。

实验一 802.3协议分析和以太网

（一）实验目的

1、分析802.3协议

2、熟悉以太网帧的格式、了解ARP、ICMP、IP数据包格式

实验步骤：

1、捕获并分析以太帧

（1）清空浏览器缓存（在IE窗口中，选择“工具/Internet选项/删除文件”命令）。如下图

（2）启动WireShark，开始分组捕获。 （3）在浏览器的地址栏中输入： http://www.hust.edu.cn/

浏览器将显示华科大主页。如下图所示：

（4）停止分组捕获。首先，找到你的主机向服务器www.hust.edu.cn发送的HTTP GET消息的Segment序号，以及服务器发送到你主机上的HTTP 响应消息的序号。

http的segement段序号是47 45 54如下图：

由下图可以得到服务器发送到我主机上的http响应消