3.2 经典嗅探器Wireshark的使用

Wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。使用Wireshark的人必须了解网络协议，否则就看不懂Wireshark了。

为了安全考虑，Wireshark只能查看封包，而不能修改封包的内容或者发送封包。

3.2.1 Wireshark的使用技巧

步骤1 启动Wireshark。当Wireshark安装完毕后，双击该应用程序，即可进入Wireshark的主界面。

步骤2 打开Options。进入主界面后，单击菜单栏中的“Capture”菜单项，会弹出一个下拉菜单，选中“Options...”选项。

步骤3 选择可用网卡。打开Capture Options后，首先要选择一张网卡，选中后这张网卡就是用户将要抓包的网卡，然后单击“Start”按钮开始嗅探。

步骤4 实时嗅探结果显示。当用户用浏览器打开网页时，Wireshark会自动地帮助用户将嗅探的结果显示在其主页面上。

3.2.2 Wireshark窗口介绍

在嗅探完成后，就可以看到如下图所示的页面。

Wireshark窗口介绍：① 显示过滤器，用于过滤；② 封包列表，显示捕获到的封包，有源地址、目标地址和端口号；③ 封包详细信息，显示封包中的字段；④ 进制数据，显示十六进制数据。

3.2.3 Wireshark过滤器的使用技巧

初学者使用Wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。过滤器会帮助用户在大量的数据中迅速找到需要的信息。过滤器有两种：一种是显示过滤器，用来在捕获的记录中找到所需要的记录；另一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录，在“Capture”→“Capture Filters”中设置保存过滤，在“Filter”栏上，填好Filter的表达式后，单击“Save”按钮，取个名称，如"Filter 102"。

显示过滤器的使用步骤如下。

通常经过捕捉过滤器过滤后的数据还是很复杂。此时可以使用显示过滤器进行更加细致的查找。

它的功能比捕捉过滤器更为强大，而且在用户想修改过滤器条件时，并不需要重新捕捉一次。

步骤1 填写过滤原则。在Wireshark的主页面中有一个过滤规则框FiIter，主要用于过滤源IP、目的IP，如查找源地址为192.168.1.105的包，ip.src==192.168.1.105；查找源地址为ip.det==1.1.1.1。

步骤2 查看对应信息。输入完成后，按“Enter”键，在封包列表中就可以查看对应信息。

3.2.4 捕获过滤器的使用

捕捉过滤器的语法与其他使用Lipcap（Linux）或者Winpcap（Windows）库开发的软件一样，如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕，这一点与显示过滤器是不同的。设置捕捉过滤器的步骤如下。

步骤1 打开Capture Options。单击“Capture”按钮，在弹出的菜单中选择“Options...”菜单项。

步骤2 命名过滤器。填写“Capture FiIter”栏或者单击“Capture FiIter”按钮为过滤器起一个名称并保存，以便在今后的捕捉中继续使用这个过滤器。单击“Start”按钮进行捕捉。