《熬夜整理》保姆级系列教程-玩转Wireshark抓包神器教程(6)-Wireshark抓包界面详解

1.简介

在此之前，宏哥已经介绍和讲解过Wireshark的启动界面。但是很多初学者还会碰到一个难题，就是感觉wireshark抓包界面上也是同样的问题很多东西不懂怎么看。其实还是挺明了的宏哥今天就单独写一篇对其抓包界面进行详细地介绍和讲解一下。

2.Wireshak抓包界面概览

通过上一篇我们知道如何使Wireshark处于抓包状态，进行抓包。其界面显示如下图所示：

Wireshark网络封包分析软件 主要分为这几个界面：

① Display Filter (显示过滤器)：用于过滤。

② Packet List Pane (封包列表)：显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同代表抓取封包的协议不同。 

③ Packet Details Pane (封包详细信息),：显示封包中的字段。

④ Dissector Pane (16进制数据)

⑤ Miscellanous (地址栏，杂项)

2.1显示过滤器

Display Filter(显示过滤器)，  用于设置过滤条件进行数据包列表过滤。菜单路径：Analyze --> Display Filters。显示过滤器用于查找捕捉记录中的内容。请不要将捕捉过滤器和显示过滤器的概念相混淆。如下图所示：

2.2封包列表

Packet List Pane(数据包列表)， 显示全部已经捕获到的数据包，每个数据包包含编号，时间戳，源地址，目标地址，协议，长度，以及数据包信息。 不同协议的数据包使用了不同的颜色区分显示。

2.3封包详细信息

Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包，在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的，用来查看协议中的每一个字段。各行信息分别为

  （1）Frame:   物理层的数据帧概况

  （2）Ethernet II: 数据链路层以太网帧头部信息

  （3）Internet Protocol Version 4: 互联网层IP包头部信息

  （4）Transmission Control Protocol:  传输层T的数据段头部信息，此处是TCP

  （5）Hypertext Transfer Protocol:  应用层的信息，此处是HTTP协议

由此可见，Wireshark 对 HTTP 协议数据包进行解析，显示了 HTTP 协议的层次结构。

2.3.1Frame

物理层数据帧概况。如下图所示：

2.3.2Ethernet II

数据链路层以太网帧头部信息。如下图所示：

2.3.3Internet Protocol Version 4

互联网层IP包头部信息。如下图所示：

IP包头。如下图所示：

2.3.4Transmission Control Protocol

传输层数据段头部信息，此处是TCP协议。如下图所示：

2.3.5Hypertext Transfer Protocol

应用层信息，此处是HTTP协议。

2.4 十六进制数据

Dissector Pane(数据包字节区)。

2.5状态栏

MISCELLANOUS（杂项），主要显示，包文件明，配置文件名，以及打开文件有多少个分组，当前显示了多少个分组（例如执行条件过滤后，只显示被过滤规则命中的分组）。

3.网络七层协议

3.1OSI

OSI是一个开放性的通信系统互连参考模型，它是一个定义得非常好的协议规范。OSI模型有7层结构，每层都可以有几个子层。 OSI的7层从上到下分别是 7 应用层 6 表示层 5 会话层 4 传输层 3 网络层 2 数据链路层 1 物理层 ；其中高层（即7、6、5、4层）定义了应用程序的功能，下面3层（即3、2、1层）主要面向通过网络的端到端，点到点的数据流。

3.2OSI和封包详细信息的对应

 下面跟随宏哥一起来看一下，Wireshark抓包查看网络请求封包中的每一个字段所对应的OSI。 以 HTTP 协议数据包为例，了解该数据包的层次结构。在 Packet List 面板中找到一个 HTTP 协议数据包。如下图所示：

用户对数据包分析就是为了查看包的信息，展开每一层，可以查看对应的信息。例如，查看数据链路层信息，展开 Ethernet II 层，显示信息如下：

Ethernet II, Src: Tp-LinkT_46:70:ba (ec:17:2f:46:70:ba), Dst: Giga-Byt_17:cf:21 (50:e5:49:17:cf:21)
Destination: Giga-Byt_17:cf:21 (50:e5:49:17:cf:21)  #目标MAC地址
Source: Tp-LinkT_46:70:ba (ec:17:2f:46:70:ba)  #源MAC地址
Type: IPv4 (0x0800)

显示的信息包括了该数据包的发送者和接收者的 MAC 地址（物理地址）。

可以以类似的方法分析其他数据包的层次结构。

4.颜色区分Wireshark网络封包分析软件抓取到的不同网络协议

说明：数据包列表区中不同的网络协议使用了不同的颜色区分。

协议颜色标识定位在菜单栏 View -->  Coloring Rules 。（视图-->着色规则）如下图所示：

5.小结

 好了，今天主要是关于Wireshark抓包界面详解。到此宏哥就将Wireshark抓包界面讲解和分享完了，是不是很简单了。今天时间也不早了，就到这里！感谢您耐心的阅读~~