wireshark抓包工具的使用

• ????专注于分享软件测试干货内容，欢迎点赞 ???? 收藏 ⭐留言 ???? 如有错误敬请指正！
• ????交流讨论： 欢迎加入我们一起学习！
• ????资源分享： 耗时200+小时精选的「软件测试」资料包
• ???? 软件测试学习教程推荐： 火遍全网的《软件测试》教程

​

前言

①wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。

②使用wireshark的人必须了解网络协议，否则就看不懂wireshark。

③为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

④wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP、HTTPS 还是用Fiddler抓包工具， 其他协议比如TCP，UDP 就用wireshark抓包工具。

⑤Wireshark 的强大之处在于它不仅能捕获数据包，还能对捕获的数据进行进一步的分析。具体来说，对pcap包的分析可以分为：

• 过滤功能——输入过滤规则，并显示符合规则的分组
• 统计功能——对所有/部分数据包的情况进行总览
• 分析功能——将某些字段作为过滤器应用&启用/停用某些协议
• 查找功能——在所有/部分数据包中查找特定值
• 查看功能——查看字段/分组/会话的字节流

1、Wireshark 开始页面

【注意】wireshark是捕获机器上的某一块网卡的网络包（网络包都是通过主机的网卡发出到对应的服务器上面，可以理解为应用层发出的请求网络包由本机网卡发向指定主机上），所以当机器上有多块网卡的时候，你需要选择一个网卡（可以上网的那一个网卡）

点击 Caputre->Interfaces ，出现下面对话框，选择正确的网卡。然后点击 Start 按钮, 开始抓包。

与上图对比，上图中选择的网卡对应的是我的主机发包的网卡。

2、Wireshark网络封包分析软件开始抓包示例

①wireshark启动后，wireshark处于抓包状态中。

②执行需要抓包的操作，如 ping www.baidu.com

③操作完成后相关数据包就抓取到了。为避免其他无用的数据包影响分析，可以通过在过滤栏设置过滤条件进行数据包列表过滤；

获取结果如下。

说明： ip.addr == 119.75.217.26 and icmp  表示只显示ICPM协议且源主机IP或者目的主机IP为119.75.217.26的数据包。

3、Wireshark 窗口介绍

WireShark网络封包分析软件 主要分为这几个界面：

① Display Filter (显示过滤器)：用于过滤。

② Packet List Pane (封包列表)：显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同代表抓取封包的协议不同。

③ Packet Details Pane (封包详细信息),：显示封包中的字段。

④ Dissector Pane (16进制数据)

⑤ Miscellanous (地址栏，杂项)

4、颜色区分Wireshark网络封包分析软件抓取到的不同网络协议

说明： 数据包列表区中不同的网络协议使用了不同的颜色区分 。

协议颜色标识定位在菜单栏 View ---》  Coloring Rules 。（视图---》着色规则）如下所示：

5、过滤

①使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。【过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。】

②Wireshark 工具的过滤器有两种：

1. 显示过滤器：就是主界面上那个，用来在捕获的记录中找到所需要的记录。（显示过滤器如上图）
2. 捕获过滤器：用来过滤捕获的封包，以免捕获太多的记录。 在 Capture -> Capture Filters  中设置保存过滤。【在Filter栏上，填好Filter的表达式后，点击 Save 按钮， 取个名字。比如"Filter 102"】（如下图）
   

（Filter栏上就多了个"Filter 102" 的按钮）

③过滤表达式的规则

1、表达式规则

协议过滤

比如TCP，只显示TCP协议

IP 过滤

比如  ip.src ==192.168.1.102：显示源地址为192.168.1.102网络请求封包。

比如  ip.dst==192.168.1.102： 目标地址为192.168.1.102网络请求封包。

端口过滤

比如 tcp.port ==80：显示端口为80的网络请求封包。

比如 tcp.srcport == 80： 只显示TCP协议的端口为80的网络请求封包。

HTTP模式过滤

比如 http.request.method=="GET"：  只显示HTTP GET请求方法的网络请求封包。

逻辑运算符为 AND/ OR

常用的过滤表达式：

6、封包列表

封包列表的面板中显示： 编号 ， 时间戳 ， 源地址 ， 目标地址 ， 协议 ， 长度 ，以及 封包信息 。 同时不同的协议用不同的颜色显示 。

可以在 View ->Coloring Rules 中修改不同的协议显示颜色的规则。

7、封包详细信息

该面板用来查看网络请求封包中的每一个字段详情。

各行信息分别为：

Frame:   物理层的数据帧概况

Ethernet II: 数据链路层以太网帧头部信息

Internet Protocol Version 4: 互联网层IP包头部信息

Transmission Control Protocol:  传输层T的数据段头部信息，此处是TCP

Hypertext Transfer Protocol:  应用层的信息，此处是HTTP协议。

8、TCP包的具体内容

从下图可以看到wireshark网络封包分析软件捕获到的TCP包中的每个字段。

最后我邀请你进入我们的软件测试学习交流群：785128166 ， 大家可以一起探讨交流软件测试，共同学习软件测试技术、面试等软件测试方方面面，还会有免费直播课，收获更多测试技巧，我们一起进阶Python自动化测试/测试开发，走向高薪之路

感谢每一个认真阅读我文章的人，看着粉丝一路的上涨和关注，礼尚往来总是要有的，虽然不是什么很值钱的东西，如果你用得到的话可以直接拿走：

​​

这些资料，对于从事【软件测试】的朋友来说应该是最全面最完整的备战仓库，这个仓库也陪伴我走过了最艰难的路程，希望也能帮助到你！