Wireshark使用教程(同名17642)

2024年1月22日发(作者：)

Wireshark17642)

使用教程同名(

错误!文档中没有指定样式的文字。

长园深瑞继保自动化有限公司第1页

错误!文档中没有指定样式的文字。

长园深瑞继保自动化有限公司第1页

错误!文档中没有指定样式的文字。

长园深瑞继保自动化有限公司第1页

错误!文档中没有指定样式的文字。

长园深瑞继保自动化有限公司第1页

时才会显示。

错误!文档中没有指定样式的文字。

（端口）列仅会在这个封包属于第4或者更高层我们可以在这里添加/删除列或者改变各列的颜色：Edit menu -> Preferences

1.1. PACKET DETAILS PANE（封包详细信息）

这里显示的是在封包列表中被选中项目的详细信息。信息按照不同的OSI layer进行了分组，您可以展开每个项目查看。下面截图中展开的是HTTP信息

1.2. DISSECTOR PANE（16进制数据）

“解析器”在Wireshark中也被叫做“16进制数据查看面板”。这里显示的内容与“封包详细信息”中相同，只是改为以16进制的格式表述。

在上面的例子里，我们在“封包详细信息”中选择长园深瑞继保自动化有限公司第1页

错误!文档中没有指定样式的文字。

查看TCP端口（80），其对应的16进制数据将自动显示在下面的面板中（0050）。

1.3. MISCELLANOUS（杂项）

在程序的最下端，您可以获得如下信息：

- 正在进行捕捉的网络设备。

- 捕捉是否已经开始或已经停止。

- 捕捉结果的保存位置。

- 已捕捉的数据量。

- 已捕捉封包的数量。(P)

- 显示的封包数量。(D) (经过显示过滤器过滤后仍然显示的封包)

- 被标记的封包数量。(M)

2. 如何使用WireShark

关于WireShark的使用，在工程现场我们主要长园深瑞继保自动化有限公司第2页

错误!文档中没有指定样式的文字。

关注“捕捉过滤器”和“显示过滤器”的使用。即，如何进行报文捕获，如何对捕获的报文进行筛选。

2.1. 捕捉过滤器（仅介绍，此功能现场较少使用）

设置捕捉过滤器的步骤是：

- 选择 capture -> options。

- 填写"capture filter"栏或者点击"capture

filter"按钮为您的过滤器起一个名字并保存，以便在后的捕捉中继续使用这个过滤器。

-

点击开始（Start）进行捕捉。

长园深瑞继保自动化有限公司第3页

语P错误!文档中没有指定样式的文字。

OtDiHLogicalOperatVher

expression

tcp

80

and

dst

10.2.2.2

3128

rotoco法： rection ost(s) alue ions

l

10.1.1.1

例子： p

tct

ds Protocol（协议）:

可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca,

moprc, mopdl, tcp and udp.

如果没有特别指明是什么协议，则默认使用所有支持的协议。

Direction（方向）:

可能的值: src, dst, src and dst, src or dst

如果没有特别指明来源或目的地，则默认使用

"src or dst" 作为关键字。

例如，"host 10.2.2.2"与"src or dst host 10.2.2.2"是一样的。

Host(s):

长园深瑞继保自动化有限公司第4页

错误!文档中没有指定样式的文字。

可能的值： net, port, host, portrange.

如果没有指定此值，则默认使用"host"关键字。

例如，"src 10.1.1.1"与"src host 10.1.1.1"相同。

Logical Operations（逻辑运算）:

可能的值：not, and, or.

否("not")具有最高的优先级。或("or")和与("and")具有相同的优先级，运算时从左至右进行。

例如，

"not tcp port 3128 and tcp port 23"与"(not tcp

port 3128) and tcp port 23"相同。

"not tcp port 3128 and tcp port 23"与"not (tcp

port 3128 and tcp port 23)"不同。

2.2. 显示过滤器（重要）

2.2.1. 显示过滤器可在过滤规则框中输入过滤条件

➢ 过滤源ip、目的ip。在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包，==192.168.101.8；查找源地址为==1.1.1.1；

➢ 端口过滤。如过滤80端口，在Filter中输入，==80，这条规则是把源端口和目的端口为80的都过滤出来。使用t==80长园深瑞继保自动化有限公司第5页

错误!文档中没有指定样式的文字。

只过滤目的端口为80的，t==80只过滤源端口为80的包；

➢ 协议过滤比较简单，直接在Filter框中直接输入协议名即可，如过滤HTTP的协议；http模式过滤。如过滤get包，=="GET",过滤post包，=="POST"；连接符and的使用。过滤两种条件时，使用and连接，如过滤ip为192.168.101.8并且为http协议的，==192.168.101.8 and http。

2.2.2. 根据已捕获的报文进行过滤器设置

以一段SV报文举例，找到指定来源的SV报文。

首先找到需要筛选的SV报文，例如图中找到MT6622合并单元发送的一帧SV报文

长园深瑞继保自动化有限公司第6页

错误!文档中没有指定样式的文字。

在Sorce一栏右键选择“Apply as Filter”-“Selected”可将源地址作为筛选条件，即可筛选指定来源报文

对于不同的筛选需求，可在设置显示过滤器时选用不同的规则，例如需要对目标（Destination）进行筛选时即在Destination位置右键进行筛选，在Apply

as Filter菜单栏下的不同选项可实现不同的筛选逻辑。

3. 结语

本文仅针对WireShark基本菜单以及两种过滤器的基本功能进行介绍，部分内容参照百度知道，如有错误还请指正。

长园深瑞继保自动化有限公司第7页