前言

  如果您觉得有用的话，记得给博主点个赞，评论，收藏一键三连啊，写作不易啊^ _ ^。
  而且听说点赞的人每天的运气都不会太差，实在白嫖的话，那欢迎常来啊!!!

---

wireshark 抓包使用记录

一、wireshark的基础使用

打开wireshark:
双击下面快捷方式:

进入【网卡选择界面】，下图红框处是你链接无线网卡

现在开始抓一下这个网卡所在的流量，即双击红框处的网卡名，自动抓包；

然后点击红框处，停止抓包。

在点击上面红框处，可以将抓取的数据保存到本地。


点击【文件】-> open 打开我们刚刚保存的1.pcapng文件

下图是wireshark各个区域的含义:

分别是菜单栏、工具栏、过滤栏、数据包列表、数据包详情、数据包字节。

二、wireshark的常用功能

1、开始混杂模式

默认情况下，我们只会对自己的mac流量进行抓取，丢弃其他mac的数据包，当开始混杂模式的时候，我们就可以抓取其他mac的数据包，
因此在我们使用wireshark的时候都会开始混杂模式，
点击【捕获】->【选项】

2、过滤器操作

2.1、抓包过滤器

目的在于动作，只抓我要抓的包，不需要的进行丢弃。

过滤的基本语法-BPF语法、下面是它的四个核心元素【类型、方向、协议、逻辑运算符】
类型Type：主机（host）、网段（net）、端口（port）
方向Dir：源地址（src）、目标地址（dst）
协议Proto：各种网络协议，比如：tcp、udp、http
逻辑运算符：与（ && ）、或（ || ）、非（ ！）

四个元素组合例子:

抓取 109.168.11.1 ip的数据包 : src host 109.168.11.1
抓取 TCP 端口号为8080和UDP的数据包: tcp port 8080 || udp

使用例子:
抓取 TCP的数据包
点击【捕获】->【选项】


BPF语法校验，绿色代表格式正确，红色代表格式错误

2.2、显示过滤器

显示过滤器语法包含五个核心元素【IP地址、端口、协议、比较运算符、逻辑运算符】:

1、IP地址：ip.addr、ip.src、ip.dst
2、端口：tcp.port、tcp.srcport、tcp.dstport
3、协议：tcp、udp、http
4、比较运算符：> < == >= <= !=
5、逻辑运算符：and、or、not、xor（有且仅有一个条件被满足）

同理、5个元素也可以自由组合:

例子:抓取tcp 端口号为8080的数据包

tcp.port == 8080

同样红色代表语法错误:

3、时间格式显示

点击【视图】-》【时间显示格式】

4、统计流量图

点击【统计】->【流量图】

5、标记显示

着色规则:


高亮显示:

6、导出数据包

导出刚刚我们标记的分组


勾选第三个，表示只导出标记的数据包:

打开我们导出的数据包:

全部导出就不说了，很好理解。

7、增加、隐藏、删除显示列

增加:
找到数据包详情模块，选择我们想要作为数据包列表展示的字段，右键->点击【应用为列】:

隐藏:
点击列，然后把对应的列字段的勾号去掉就隐藏了。

删除:
点击要删除的列，点击下面红框处: