0x01捕獲數(shù)據(jù)包：

1.打開wireshark

2.從主下拉菜單中選擇capture，然后是interface

這時你應(yīng)該可以看到一個對話框，里面列出了你可以用來捕獲數(shù)據(jù)包的各種設(shè)備，以及它們的IP地址

3.選擇你想要使用的設(shè)備，然后start

0x02wireshark主窗口

圖片.png

Packet List(數(shù)據(jù)包列表)：當(dāng)前捕獲文件中的所有數(shù)據(jù)包，包括數(shù)據(jù)包序號、數(shù)據(jù)包被捕獲的相對時間、數(shù)據(jù)包的源地址和目標(biāo)地址、數(shù)據(jù)包的協(xié)議以及在數(shù)據(jù)包中找到的概況信息。

Packet Details(數(shù)據(jù)包細節(jié))：顯示了一個數(shù)據(jù)包中的內(nèi)容，并且可以通過展開或是收縮來顯示這個數(shù)據(jù)包中所捕獲到的全部內(nèi)容。

Packet Bytes(數(shù)據(jù)包字節(jié))：顯示了一個數(shù)據(jù)包未經(jīng)處理的原始樣子，也就是其在鏈路上傳播時的樣子。

3.wireshark首選項：Edit→Preferences

User Interface(用戶接口)、Capture、Printing、NameResolutions(名字解析：作用是開戶wireshark將地址解析成更加容易分辨折名字)、Statistics(統(tǒng)計)、Protocols(協(xié)議)

4.著色規(guī)則：view→coloring rules

創(chuàng)建自己的著色規(guī)則：

1.  打開wireshark→coloring rules→view→coloring rules
   

2.  在著色規(guī)則的列表中找到HTTP著色規(guī)則并單擊
   

3.  edit→edit color filter→background color
   

0x03分析數(shù)據(jù)包

1.保存：file→save as

導(dǎo)出：file→export

合并捕獲文件：file→merge

2.分析數(shù)據(jù)包：
查找數(shù)據(jù)包(ctrl-7):(下一個ctrl-N,前一個ctrl-B)
display filter: not ip/ip.addr==192.168.0.1/arp
Hex value: 00:ff/ff:ff/00:AB:B1:f0
String:Workstation1/UserB/domain
標(biāo)記數(shù)據(jù)包：右擊packet list>mark packet或者ctrl-m標(biāo)記與取消，在標(biāo)記的數(shù)據(jù)包間切換：shift-ctrl-n和shift-ctrl-n。
3.數(shù)據(jù)包相對時間參考：Edit->set time reference設(shè)定或取消時間參考
4.設(shè)定捕獲選項：
capture->interfaces->Options

0x04.wireshark捕獲語法

1.捕獲過濾器的BPF語法：
Type:指出名字或數(shù)字所代表的意義： host\net\port
Dir: 指明傳輸方向是前往還是來自名字或數(shù)字：src\dst
Proto：限定所要匹配的協(xié)議：ether\ip\tcp\udp\http\ftp
可使用的3種邏輯運算符： 與（&&）或（｜｜）非（?。?br> 例： src 192.168.0.10 && port 80
2．主機名和地址過濾器
假設(shè)你對一個正在和你網(wǎng)絡(luò)中某個服務(wù)器進行交互的主機所產(chǎn)生的流量感興趣，可以創(chuàng)建一個使用host限定詞的過濾器來捕獲所有和那臺主機IPv4地址相關(guān)的流量
host 172.16.16.149
如果你使用一個IPv6網(wǎng)絡(luò)，需要使用基于IPv6的host限定詞
host 2001:db8:85a3:8a2e:370:7334
可以使用基于一臺設(shè)備的主機名host限定詞
host testserver2
考慮到一臺主機的IP地址可能會變化，可以通過加入ether協(xié)議限定詞，對它的MAC地址進行過濾