捋捋wireshark

本猿搬砖时会用到wireshark分析pcap包，但频率不高，记过一些笔记，今天捋捋，希望能给初学者节省一点时间。

wireshark是个网络封包分析软件（network packet analyzer），可以用来抓流量包，也可以用来分析流量包，别的就先不说了，官网https://www.wireshark.org，文档在https://www.wireshark.org/docs/，用户手册https://www.wireshark.org/docs/wsug_html/，觉得这段挺好：

就是说，网络管理员用wireshark排查故障，网络安全工程师用wireshark检查安全问题，质量保证工程师Quality Assurance Engineer用wireshark验证应用程序的网络通信是否符合设计规范、是否存在缺陷或安全隐患，网络协议开发者用wireshark排查bug，还可以用来学习网络协议的内部细节。

这么厉害的东西，怎么安装？我这里办公电脑是win 10，用的是入职时同事给的安装包Wireshark-win64-2.6.3.exe，直接打开下一步、下一步就可以。资源也传到csdn了，下载链接https://download.csdn.net/download/weixin_42988262/90936194?spm=1001.2014.3001.5503，

头一次用csdn的这个功能，不知道审核过了没，下载不了的话请联系我。

还可以从官网下载安装包，都是免费的，链接从https://www.wireshark.org/download.html，这个样：

我这里就先不升级了，只说说怎么抓包。首先，打开wireshark，我这个版本界面是这样：

选择菜单栏上的捕获->选项；如果是英文版，就是Capture -> Option：

就得到这个窗口了:

接下来就是选择选择从哪个网口上抓包。wireshark的用处之一是“Capture live packet data from a network interface”，所以我用了“从某个网口上抓包”这种说法。我这里用的是无线网，那么就是选中上图红箭头指向的那个WLAN2

然后，就是设定捕获过滤规则。就是说，Wireshark默认会捕捉所有经过网卡的数据，但通常我们只对某一些流量感兴趣，就要设定捕获过滤规则。这里我们为了演示效果，也不能什么都抓，选择一个ICMP协议，就是上图圆圈以及方框展示的效果。

现在点击窗口右下角的“开始”按钮了。我们来到一个窗口，提示“正在捕获WLAN 2(icmp)”:

现在从本地ping www.baidu.com：

就可以看到wireshark捕获了6个数据包，3个请求3个应答，对应着给www.baidu.com发的三个数据包的请求和应答：

点击上图红箭头指向的按钮，抓包就停止了，然后就可以用文件->另存为，保存刚才抓到的包了：

我这里存成hellooo.pacp，用wireshark再打开，和刚才抓下来的包一个样：

今儿就这些吧，后边如果遇到好的例子，再发。