1.簡介

WireShark的強大之處就在于不用你再做任何配置就可以抓取http或者https的包。主要是講解和分享如何使用WireShark抓包。

2.運行Wireshark

安裝好 Wireshark 以后，就可以運行它來捕獲數據包了。方法如下：

1.在 Windows 的“開始”菜單中，單擊 Wireshark 菜單，如下圖所示：

2.點擊啟動 Wireshark，如下圖所示：

該圖為 Wireshark 的主界面，界面中顯示了當前可使用的接口，例如，本地連接* 5、本地連接* 6 等。要想捕獲數據包，必須選擇一個接口，表示捕獲該接口上的數據包。

3.捕獲設置

小伙伴或者童鞋們可以使用以下任意一種方式啟動捕獲。

2.1第一種方法

在上圖中，選擇捕獲“本地連接* 5”接口上的數據包。選擇“本地連接* 5”選項，然后單擊左上角的“開始捕獲分組”按鈕，將進行捕獲網絡數據，如下圖所示：

圖中沒有任何信息，表示沒有捕獲到任何數據包。這是因為目前“本地連接* 5”上沒有任何數據。此時wireshark處于抓包狀態中。只有在本地計算機上進行一些操作后才會產生一些數據，如瀏覽網站。如下圖所示：

2.2第二種方法

1.選擇菜單欄上捕獲（Capture） ->選項（Option），彈出捕獲選項，如下圖所示：

當然也可以點擊【捕獲選項】的圖標一步到位，如下圖所示：

2.在捕獲選項中：勾選WLAN網卡或者其他網卡（這里需要根據各自電腦網卡使用情況選擇，簡單的辦法可以看使用的IP對應的網卡）。點擊開始（Start）。啟動抓包。如下圖所示：

3.點擊開始后，wireshark處于抓包狀態中。由于本地計算機在瀏覽網站等一系列操作時，“以太網”接口的數據將會被 Wireshark 捕獲到。捕獲的數據包如圖所示。圖中方框中顯示了成功捕獲到“以太網”接口上的數據包。如下圖所示：

4.Wireshark 將一直捕獲“以太網”上的數據。如果不需要再捕獲，可以單擊左上角的“停止捕獲分組”按鈕，停止捕獲。如下圖所示：

2.3第三種方法

1.選中一個網卡，右鍵點擊“Start capture”開始抓包，如下圖所示：

3.Wireshark實戰抓包

首次捕獲都要經歷網卡選取、選項配置和啟動捕獲三個過程，啟動的方式不同并不會帶來本質區別，都是殊途同歸。

這里以本地計算ping一下百度的域名為例分享一下抓包過程。

1.通過前邊的步驟我們知道Wireshark已經處于抓取“以太網”接口的抓包狀態，這里就直接ping一下百度域名，如下圖所示：

2.我們查看Wireshark是否抓取到ping百度域名的包，通過對照我們可以發現抓取到了，如下圖所示：

4.過濾欄設置

我們發現在眾多抓取的包查找ping百度的還是特別麻煩的，因為可以通過在過濾欄設置過濾條件進行數據包列表過濾，以免抓取無用包影響查看，這里就以ping baidu.com為例，只過濾百度的ip，設置如下：

ip.addr == 110.242.68.3 and icmp

以上過濾條件說明：表示只顯示ICPM協議且源主機IP或者目的主機IP為39.156.69.79的數據包。注意：協議名稱icmp要小寫。這里簡單的介紹一下，后邊會進行詳細地介紹和講解。

經過過濾后，我們發現查找到非常簡單，因為ping了兩次，因此總共有8條數據。如下圖所示：

?到此，關于Wireshark抓包流程就大功告成。Wireshark抓包完成，就這么簡單。關于wireshark過濾條件和如何查看數據包中的詳細內容在后面介紹。