如何在 WireShark 中抓包

Wireshark 是一種非常寶貴的網絡分析工具，可將通過網絡傳輸的數據轉換為可讀格式。您可以通過使用 Wireshark 捕獲數據包來識別網絡或安全問題、調試協議實現或簡單地監控流量。

通過捕獲您需要的確切信息，仔細查看網絡中發生的情況。下面介紹如何在 Wireshark 中捕獲不同類型的數據包。

如何抓包

在 Wireshark 中開始捕獲過程只需點擊幾下。您需要做的就是啟動捕獲模式，數據將開始未經過濾地湧入。當您需要有關正在發生的事情的完整報告時，這種未經過濾的模式非常有用，但像這樣捕獲的數據量可能會非常龐大。為了使其更易於管理，您可以使用過濾器並僅捕獲特定類型的數據。您將在下面找到執行此操作的步驟。

現在，讓我們看看如何開始捕獲 Wireshark 中的所有數據包：

1. 確保您安裝了最新版本的 Wireshark。您可以從Wireshark官方網站免費獲取該程序。
   
   
2. 啟動程序。歡迎屏幕會向您致意，其中會列出您檢測到的網絡。
   
3. 通過以下方式之一開始抓包：
   • 雙擊列表中您選擇的網絡。
     
   • 選擇一個或多個網絡接口，然後單擊工具欄中的魚翅圖標或“捕獲”，然後單擊菜單欄中的“開始”。
     
     

注意：您可以在開始之前通過單擊“捕獲”然後單擊“選項”來調整捕獲選項（例如混雜模式）。

單擊網絡接口或開始按鈕後，您將被帶到捕獲屏幕。你會看到 Wireshark 實時抓取數據包。一旦對收集的數據量感到滿意，您可以通過單擊頂部工具欄中的紅色停止按鈕來停止捕獲。立即開始分析數據或通過單擊菜單欄中的“文件”然後“另存為...”將其保存以備後用。

如何抓取UDP數據包

按照上面的步驟將提示程序捕獲所有數據包。雖然由於顏色編碼，不同類型的流量在 Wireshark 中很容易區分，但您仍然需要篩選大量數據。如果您只是尋找有關某些數據包的信息，您可以使用過濾器來簡化您的工作。

Wireshark 支持捕獲和顯示過濾器。使用捕獲過濾器將意味著該程序只捕獲您定義的數據包。顯示過濾器僅過濾已捕獲的數據包。這兩個過濾器的工作方式不同並使用不同的命令，因此您需要決定哪一個最適合您的需要。

如果您只想捕獲 UDP 流量，請在開始捕獲過程之前使用捕獲過濾器。

1. 啟動 Wireshark。
   
2. 在歡迎屏幕上查找捕獲過濾器欄。它是網絡列表正上方的那個。
   
3. 在Capture Filter欄中輸入“udp”並回車開始捕獲UDP流量。如果您希望進一步指定您的過濾器，您還可以在“udp”之後添加一個特定的端口。
   

提示：另一種調整捕獲過濾器的方法是單擊“捕獲”，然後單擊菜單中的“選項”。過濾欄將位於捕獲界面的底部。

Wireshark如何抓取DHCP數據包

要專門捕獲 DHCP 數據包，您需要在捕獲過濾器中輸入相應的端口號。使用捕獲過濾器“端口 67”或“端口 68”或兩者的組合“端口 67 或端口 68”來捕獲 DHCP 數據包。

同樣，顯示過濾器可以過濾掉捕獲屏幕中的 DHCP 數據包。但是，請記住顯示過濾器使用與捕獲過濾器不同的語法。您必須在顯示過濾器欄中輸入“udp.port == 68”。

如何抓取Ping包

在 Wireshark 中捕獲 ping 數據包（也稱為 Internet 控制消息協議 (ICMP) Echo 流量）的最佳方法是在捕獲模式下使用顯示過濾器。這是過程。

1. 打開 Wireshark 並開始如上所述的捕獲過程。
   
2. 打開您的命令提示符並 ping 您選擇的地址。
   
3. 返回 Wireshark 並停止捕獲過程。
   
4. 通過在顯示過濾器欄中鍵入“icmp”為 ping 數據包創建一個過濾器，然後按 Enter。
   

您將在數據包列表中看到對 ping 的請求和回复。

Wireshark 如何從特定 IP 地址捕獲數據包

如果您想將捕獲重點放在特定的 IP 地址上，請在開始捕獲之前輸入以下捕獲過濾器：“host [您要記錄的 IP 地址]。” 例如，捕獲與 IP 地址 111.11.1.1 相關的數據包將需要捕獲過濾器欄中的過濾器“主機 111.11.1.1”。

您還可以通過在開頭添加“src”作為源或“dst”作為目標而不是“host:”來定義是否要捕獲發往或來自特定 IP 地址的流量

• 為來自相關 IP 地址的數據包鍵入“src 111.11.1.1”
• 鍵入“dst 111.11.1.1”用於發送到相關 IP 地址的數據包

當然，您可以組合這些過濾器來指定要進一步捕獲的流量。用“and”連接兩個過濾器，讓數據包在您定義的兩個 IP 地址之間傳輸。例如，“src 111.11.1.1 and dst 222.22.2.2”將只捕獲從 111.11.1.1 發送到 222.22.2.2 的數據包。

使用顯示過濾器過濾與已捕獲數據集中特定 IP 地址相關的數據包。對於上述IP地址，在您的顯示過濾欄中輸入“ip.addr == 111.11.1.1”，依此類推。

常見問題

如何在 Wireshark 中捕獲路由器數據包？

如果您有支持端口鏡像的路由器，則只能使用 Wireshark 捕獲路由器數據包。首先，您需要將流量鏡像到 LAN 端口。該過程可能因您的設備而異。

1. 進入 LAN，然後進入 LAN Port Mirror。

2.啟用端口鏡像。

3. 配置源點和目標點。

如果您可以通過這種方式鏡像您的流量，您將能夠在 Wireshark 的捕獲模式下正常捕獲路由器數據包。

為什麼我無法在 Wireshark 中捕獲數據包？

如果您的 Wireshark 未捕獲任何數據包，請查看以下可能性來解決問題：

• 確保您沒有啟用任何過於具體的捕獲過濾器。

• 在“幫助”菜單中查找 Wireshark 更新。

• 確認防火牆沒有阻止您的 Wireshark 應用程序。

如果以上因素均不適用於您，則問題很可能出在您的硬件上。

必須捕獲所有

使用 Wireshark 捕獲數據包只需點擊幾下。這可能是您的故障排除任務中最簡單的部分。稍後捕獲所有流量並過濾數據包，或使用捕獲過濾器僅記錄特定數據類型。

您是否設法使用這些技巧捕獲了您想要的數據包？您認為哪種 Wireshark 捕獲過濾器最有用？請在下面的評論部分告訴我們。