《熬夜整理》保姆级系列教程-玩转Wireshark抓包神器教程(5)-Wireshark捕获设置

1.简介

WireShark的强大之处就在于不用你再做任何配置就可以抓取http或者https的包。今天宏哥主要是讲解和分享如何使用WireShark抓包。

2.运行Wireshark

安装好 Wireshark 以后，就可以运行它来捕获数据包了。方法如下：

1.在 Windows 的“开始”菜单中，单击 Wireshark 菜单，如下图所示：

2.点击启动 Wireshark，如下图所示：

该图为 Wireshark 的主界面，界面中显示了当前可使用的接口，例如，本地连接* 5、本地连接* 6 等。要想捕获数据包，必须选择一个接口，表示捕获该接口上的数据包。

3.捕获设置

小伙伴或者童鞋们可以使用以下任意一种方式启动捕获。

2.1第一种方法

在上图中，选择捕获“本地连接* 5”接口上的数据包。选择“本地连接* 5”选项，然后单击左上角的“开始捕获分组”按钮，将进行捕获网络数据，如下图所示：

图中没有任何信息，表示没有捕获到任何数据包。这是因为目前“本地连接* 5”上没有任何数据。此时wireshark处于抓包状态中。只有在本地计算机上进行一些操作后才会产生一些数据，如浏览网站。如下图所示：

2.2第二种方法

1.选择菜单栏上捕获（Capture） ->选项（Option），弹出捕获选项，如下图所示：

当然也可以点击【捕获选项】的图标一步到位，如下图所示：

2.在捕获选项中：勾选WLAN网卡或者其他网卡（这里需要根据各自电脑网卡使用情况选择，简单的办法可以看使用的IP对应的网卡）。点击开始（Start）。启动抓包。如下图所示：

3.点击开始后，wireshark处于抓包状态中。由于本地计算机在浏览网站等一系列操作时，“以太网”接口的数据将会被 Wireshark 捕获到。捕获的数据包如图所示。图中方框中显示了成功捕获到“以太网”接口上的数据包。如下图所示：

4.Wireshark 将一直捕获“以太网”上的数据。如果不需要再捕获，可以单击左上角的“停止捕获分组”按钮，停止捕获。如下图所示：

2.3第三种方法

1.选中一个网卡，右键点击“Start capture”开始抓包，如下图所示：

3.Wireshark实战抓包

首次捕获都要经历网卡选取、选项配置和启动捕获三个过程，启动的方式不同并不会带来本质区别，都是殊途同归。

宏哥这里以本地计算ping一下百度的域名为例给小伙伴或童鞋们讲解和分享一下抓包过程。

1.通过前边的步骤我们知道Wireshark已经处于抓取“以太网”接口的抓包状态，宏哥这里就直接ping一下百度域名，如下图所示：

2.我们查看Wireshark是否抓取到宏哥ping百度域名的包，通过对照我们可以发现抓取到了，如下图所示：

4.过滤栏设置

我们发现在众多抓取的包查找ping百度的还是特别麻烦的，因为可以通过在过滤栏设置过滤条件进行数据包列表过滤，以免抓取无用包影响查看，这里就以ping baidu.com为例，只过滤百度的ip，设置如下：

ip.addr == 110.242.68.3 and icmp

以上过滤条件说明：表示只显示ICPM协议且源主机IP或者目的主机IP为39.156.69.79的数据包。注意：协议名称icmp要小写。这里宏哥简单的介绍一下，后边会进行详细地介绍和讲解。

经过过滤后，我们发现查找到非常简单，因为宏哥ping了两次，因此总共有8条数据。如下图所示：

 到此，关于Wireshark抓包流程就大功告成。你学废了吗？？？Wireshark抓包完成，就这么简单。关于wireshark过滤条件和如何查看数据包中的详细内容在后面介绍。

5.小结

好了，到此宏哥就将使用WireShark抓包讲解和分享完了，是不是很简单了。今天时间也不早了，就到这里！感谢您耐心的阅读~~