如何在 Wireshark 中读取数据包

对于许多 IT 专家来说,Wireshark 是网络数据包分析的首选工具。开源软件使您能够仔细检查收集的数据并以更高的准确性确定问题的根源。此外,Wireshark 实时运行并使用颜色编码来显示捕获的数据包,以及其他漂亮的机制。

如何在 Wireshark 中读取数据包

在本教程中,我们将解释如何使用 Wireshark 捕获、读取和过滤数据包。下面,您将找到基本网络分析功能的分步说明和细分。一旦掌握了这些基本步骤,您将能够检查网络的流量并更有效地解决问题。

分析数据包

一旦数据包被捕获,Wireshark 会将它们组织在一个非常容易阅读的详细数据包列表窗格中。如果要访问有关单个数据包的信息,只需在列表中找到它并单击即可。您还可以进一步展开树以访问数据包中包含的每个协议的详细信息。

要获得更全面的概览,您可以在单独的窗口中显示每个捕获的数据包。就是这样:

  1. 用光标从列表中选择数据包,然后单击鼠标右键。

  2. 从上面的工具栏中打开“查看”选项卡。

  3. 从下拉菜单中选择“在新窗口中显示数据包”。

注意:如果您将它们放在不同的窗口中,比较捕获的数据包会容易得多。

如前所述,Wireshark 使用颜色编码系统进行数据可视化。每个数据包都标有不同的颜色,代表不同类型的流量。例如,TCP 流量通常用蓝色突出显示,而黑色用于表示包含错误的数据包。

当然,您不必记住每种颜色背后的含义。相反,您可以当场检查:

  1. 右键单击要检查的数据包。

  2. 从屏幕顶部的工具栏中选择“查看”选项卡。

  3. 从下拉面板中选择“着色规则”。

您将看到根据自己的喜好自定义着色的选项。但是,如果您只想临时更改着色规则,请按以下步骤操作:

  1. 右键单击数据包列表窗格中的数据包。
  2. 从选项列表中,选择“使用滤镜着色”。

  3. 选择要用于标记的颜色。

数字

数据包列表窗格将显示捕获的数据位的确切数量。由于数据包被组织在几列中,因此很容易解释。默认类别是:

  • 编号(Number):如前所述,您可以在此列中找到捕获数据包的确切数量。即使在过滤数据后,数字也将保持不变。
  • 时间:您可能已经猜到了,数据包的时间戳显示在此处。
  • 来源:它显示数据包的来源。
  • 目的地:它显示了数据包将被保存的地方。
  • 协议:它显示协议的名称,通常是缩写。
  • 长度:显示捕获的数据包中包含的字节数。
  • 信息:该列包含有关特定数据包的任何附加信息。

时间

在 Wireshark 分析网络流量时,每个捕获的包都带有时间戳。然后时间戳包含在数据包列表窗格中,供以后检查使用。

Wireshark 不会自己创建时间戳。相反,分析器工具从 Npcap 库中获取它们。但是,时间戳的来源实际上是内核。这就是时间戳的准确性可能因文件而异的原因。

您可以选择时间戳在数据包列表中的显示格式。此外,您可以设置显示的首选精度或小数位数。除了默认的精度设置,还有:

  • 十分之一秒
  • 百分之一秒
  • 毫秒
  • 微秒
  • 纳秒

来源

顾名思义,数据包的来源是原产地。如果您想获取Wireshark存储库的源代码,可以使用Git客户端下载。但是,该方法要求您拥有 GitLab 帐户。没有一个也可以,但最好注册以防万一。

注册帐户后,请按照下列步骤操作:

  1. 使用以下命令确保 Git 正常运行:“$ git--版本。

  2. 仔细检查您的电子邮件地址和用户名是否已配置。
  3. 接下来,克隆 Workshark 源。使用 ”$ git clone -o upstream [电子邮件保护] :wireshark/wireshark.git” SSH URL 进行复制。
  4. 如果您没有 GitLab 帐户,请尝试使用 HTTPS URL:“$ git clone -o upstream //gitlab.com/wireshark/wireshark.git。

随后,所有来源都将复制到您的设备中。请记住,克隆可能需要一段时间,尤其是在网络连接缓慢的情况下。

目的地

如果您想知道特定数据包目的地的 IP 地址,您可以使用显示过滤器来定位它。就是这样:

  1. 进入 ”ip.addr == 8.8.8.8” 进入 Wireshark 的“过滤盒”。然后,单击“输入”。

  2. 数据包列表窗格将重新配置为仅显示数据包目的地。通过滚动列表找到您感兴趣的 IP 地址。

  3. 完成后,从工具栏中选择“清除”以重新配置数据包列表窗格。

协议

协议是确定连接到同一网络的不同设备之间数据传输的指南。每个 Wireshark 数据包都包含一个协议,您可以使用显示过滤器启动它。就是这样:

  1. 在 Wireshark 窗口的顶部,单击“过滤器”对话框。
  2. 输入要检查的协议的名称。通常,协议标题以小写字母书写。
  3. 单击“Enter”或“Apply”以启用显示过滤器。

长度

Wireshark 数据包的长度取决于在该特定网络片段中捕获的字节数。该数字通常与 Wireshark 窗口底部列出的原始数据字节数相对应。

如果要检查长度的分布,请打开“Packet Lengths”窗口。所有信息分为以下列:

  • 数据包长度
  • 数数
  • 平均
  • 最小值/最大值
  • 速度
  • 百分
  • 爆率
  • 突发启动

信息

如果特定捕获的数据包中有任何异常或类似项目,Wireshark 会记录下来。然后信息将显示在数据包列表窗格中以供进一步检查。这样,您就会清楚地了解非典型网络行为,从而加快反应速度。

其他常见问题

如何过滤数据包数据?

过滤是一项有效的功能,可让您查看特定数据序列的细节。 Wireshark 过滤器有两种类型:捕获和显示。捕获过滤器用于限制数据包捕获以满足特定需求。换句话说,您可以通过应用捕获过滤器来筛选不同类型的流量。顾名思义,显示过滤器允许您深入了解数据包的特定元素,从数据包长度到协议。

应用过滤器是一个非常简单的过程。您可以在 Wireshark 窗口顶部的对话框中键入过滤器标题。此外,软件通常会自动完成过滤器的名称。

或者,如果您想梳理默认的 Wireshark 过滤器,请执行以下操作:

1. 打开 Wireshark 窗口顶部工具栏中的“分析”选项卡。

2. 从下拉列表中选择“显示过滤器”。

3. 浏览列表并单击您要应用的列表。

最后,这里有一些可以派上用场的常见 Wireshark 过滤器:

• 要仅查看源 IP 地址和目标 IP 地址,请使用:“ip.src==IP-address 和 ip.dst==IP-address

• 要仅查看 SMTP 流量,请键入:“tcp.port eq 25

• 要捕获所有子网流量,请应用:“净 192.168.0.0/24

• 要捕获除 ARP 和 DNS 流量之外的所有内容,请使用:“端口不是 53 也不是 arp

如何在 Wireshark 中捕获数据包数据?

将 Wireshark 下载到设备后,您就可以开始监控网络连接。要捕获数据包以进行全面分析,您需要执行以下操作:

1. 启动 Wireshark。您将看到可用网络列表,因此请单击要检查的网络。如果您想查明流量类型,也可以应用捕获过滤器。

2. 如果要检查多个网络,请使用“shift + 左键单击”控件。

3. 接下来,单击上方工具栏上最左侧的鲨鱼鳍图标。

4. 您也可以通过单击“捕获”选项卡并从下拉列表中选择“开始”来开始捕获。

5. 另一种方法是使用“Control – E”键击。

当软件获取数据时,您会看到它实时出现在数据包列表窗格中。

鲨鱼字节

虽然 Wireshark 是一种非常先进的网络分析器,但它的解释却出奇地容易。数据包列表窗格非常全面且组织良好。所有信息都分布在七种不同的颜色中,并标有清晰的颜色代码。

此外,开源软件附带了大量易于应用的过滤器,可促进监控。通过启用捕获过滤器,您可以确定希望 Wireshark 分析的流量类型。抓取数据后,您可以为指定的搜索应用多个显示过滤器。总而言之,它是一种高效的机制,并不难掌握。

您是否使用 Wireshark 进行网络分析?您如何看待过滤功能?如果我们跳过了有用的数据包分析功能,请在下面的评论中告诉我们。