通過前面的部分，我們對(duì)Wireshark界面主體內(nèi)容有了大致了解。這一節(jié)主要介紹如何抓包，抓包后的界面顯示（因?yàn)閃ireshark打開數(shù)據(jù)包后又是另一副界面）。如何保存或?qū)С鲎ト〉膱?bào)文等內(nèi)容。

第一次抓包

現(xiàn)在可以開始你的第一次數(shù)據(jù)包捕獲實(shí)驗(yàn)了。你可能會(huì)想:“當(dāng)網(wǎng)絡(luò)什么問題也沒有的時(shí)候,怎么能捕獲數(shù)據(jù)包呢?“

首先，網(wǎng)絡(luò)總是有問題的。

第二,做數(shù)據(jù)包分析并不一定要等到有問題的時(shí)候再做。事實(shí)上，大多數(shù)的數(shù)據(jù)包分析員在分析沒有問題的網(wǎng)絡(luò)流量上花的時(shí)間要比解決問題的時(shí)候多。為了能高效地解決網(wǎng)絡(luò)問題,你也同樣需要得到一個(gè)基準(zhǔn)來與之對(duì)比。舉例來說,如果你想通過分析網(wǎng)絡(luò)流量來解決關(guān)于DHCP的問題,你至少需要知道DHCP在正常工作時(shí)的數(shù)據(jù)流是什么樣子的。

更廣泛地講,為了能夠發(fā)現(xiàn)日常網(wǎng)絡(luò)活動(dòng)的異常,你必須對(duì)日常網(wǎng)絡(luò)活動(dòng)的情況有所掌握。當(dāng)你的網(wǎng)絡(luò)正常運(yùn)行時(shí),你以此作為基準(zhǔn),就能知道網(wǎng)絡(luò)流量在正常情況下的樣子。

OK，讓我們一起動(dòng)手，開始采集數(shù)據(jù)包吧。

首先打開Wireshark，雙擊顯示有流量的網(wǎng)卡。如下圖。

Wireshark網(wǎng)絡(luò)分析器

這樣，就已經(jīng)開始數(shù)據(jù)包捕獲了，很輕松吧。

接下來，你可能看到了如下的畫面。

Wireshark網(wǎng)絡(luò)分析器

Wireshark主窗口

Wireshark主窗口將你所捕獲的數(shù)據(jù)包顯示或拆分成更容易使人理解的方式的地方,也將是你花費(fèi)時(shí)間最多的地方。我們使用剛剛捕獲的數(shù)據(jù)包來介紹一下Wireshark的主窗口。

Wireshark主窗口的設(shè)計(jì)使用了3個(gè)面板，主窗口的3個(gè)面板相互有著聯(lián)系。

Wireshark主窗口

如果希望在 Packet

Details(數(shù)據(jù)包細(xì)節(jié))面板中查看一個(gè)單獨(dú)的數(shù)據(jù)包的具體內(nèi)容,你必須現(xiàn)在Packet List(數(shù)據(jù)包列表)面板中單擊選中那個(gè)數(shù)據(jù)包。在你選中了數(shù)據(jù)包之后,你可以通過在Packet Details面板中選中數(shù)據(jù)包的某個(gè)字段,從而在 Packet Bytes(數(shù)據(jù)包細(xì)節(jié))面板中查看相應(yīng)字段的字節(jié)信息。

下面介紹了每個(gè)面板的內(nèi)容。

Packet List(數(shù)據(jù)包列表):最上面的面板用表格顯示了當(dāng)前捕獲文件中的所有數(shù)據(jù)包,其中包括了數(shù)據(jù)包序號(hào)、數(shù)據(jù)包被捕獲的相對(duì)時(shí)間、數(shù)據(jù)包的源地址和目標(biāo)地址、數(shù)據(jù)包的協(xié)議以及在數(shù)據(jù)包中找到的概況信息等列。

Packet Details(數(shù)據(jù)包細(xì)節(jié)):中間的面板分層次地顯示了一個(gè)數(shù)據(jù)包中的內(nèi)容,并且可以通過展開或是收縮來顯示這個(gè)數(shù)據(jù)包中所捕獲到的全部內(nèi)容。

Packet Bytes(數(shù)據(jù)包字節(jié)):最下面的面板可能是最令人困惑的,因?yàn)樗@示了一個(gè)數(shù)據(jù)包未經(jīng)處理的原始樣子,也就是其在網(wǎng)絡(luò)上傳輸時(shí)的樣子。這些原始數(shù)據(jù)看上去一點(diǎn)都不容易理解。

保存和導(dǎo)出數(shù)據(jù)包

數(shù)據(jù)包采集完成后，可以像文件一樣保存，你也可以將這個(gè)保存后的文件傳給朋友，他們使用Wireshark依舊能夠打開。這個(gè)常見的word文檔道理類似。

選擇工具條中的保存捕獲文件按鈕，在彈出的窗口中，寫上文件名和選擇保存目錄，這個(gè)抓包文件就被成功保存了。

Wireshark保存和導(dǎo)出數(shù)據(jù)包