基本使用

界面

打开wireshark主界面应该是这样的(v4.4.1):

下方的网络接口显示了当前计算机可用的所有网络接口, 包括各种物理网卡以及VMware的虚拟网卡等

查看捕获的流量

打开wireshark的捕获文件(.pacpng)后界面会分成三个栏

• 分组列表: 上方的窗口, 代表每个数据包的基本情况

• 分组详情: 左下的窗口, 代表数据包经过wireshark解析后的内容

• 分组字节流: 右下的窗口, 数据包在传输过程的原始内容, 以十六进制显示

过滤器

在三个视图的最上方有一个输入框, 在这里输入过滤器并应用可以将大量繁杂的数据根据某种规则进行筛选 达到减轻分析压力的目的, 具体内容见: wireshark过滤器

追踪流

wireshark支持追踪某些协议的数据流, 查看其传输的具体内容, 典型代表是 http 协议

在分组列表中找到http协议数据包, 右键并选择 追踪流->HTTP Stream 就可以查看整个流的所有数据包:

导出对象

wireshark支持导出某些协议的访问或传输的对象, 同样以http协议为例 菜单选择 导出对象->http 即可看到整个捕获流量中所有http访问的对象:

这里其实就是客户端对服务器进行访问的所有url路径

导出对象这一功能在判断web服务器是否遭受某些特征明显的攻击(sql注入,目录扫描等)时有很大的作用