如何在 Wireshark 中捕獲 HTTP 流量

Wireshark 允許您使用各種工具分析網絡內部的流量。如果您想查看網絡內部發生的情況，或者遇到網絡流量或頁面加載問題，可以使用 Wireshark。它允許您捕獲流量，這樣您就可以了解問題所在或將其發送給支持部門以獲得進一步幫助。繼續閱讀本文，您將了解如何在 Wireshark 中捕獲 http 流量。

安裝 Wireshark

安裝 Wireshark 是一個簡單的過程。它是跨不同平台的免費工具，您可以通過以下方式下載和安裝它：

Windows 和 Mac 用戶

1. 打開瀏覽器。
2. 訪問https://www.wireshark.org/download.html。
3. 選擇適合您設備的版本。
   
4. Wireshark 將下載到您的設備。
5. 按照包中的說明進行安裝。
   

Linux 用戶

如果您是 Linux 用戶，則可以在 Ubuntu 軟件中心找到 Wireshark。從那裡下載並按照包中的說明進行安裝。

在 Wireshark 中捕獲 HTTP 流量

現在您已經在計算機上安裝了 Wireshark，我們可以繼續捕獲 http 流量。以下是執行此操作的步驟：

1. 打開瀏覽器——您可以使用任何瀏覽器。
2. 清除緩存 – 在捕獲流量之前，您需要清除瀏覽器的緩存。如果您轉到瀏覽器的設置，則可以執行此操作。
   
3. 打開 Wireshark。
   
4. 點擊“捕捉”。
   
5. 點擊“界面”。您現在將在屏幕上看到一個彈出窗口。
6. 選擇接口。您可能想分析通過以太網驅動程序的流量。
   
7. 選擇界面後，點擊“開始”或點擊“Ctrl + E”。
   
8. 現在返回瀏覽器並訪問要從中捕獲流量的 URL。
   
9. 完成後，停止捕獲流量。返回 Wireshark 並點擊“Ctrl + E”。
   
10. 保存捕獲的流量。如果您遇到網絡問題並希望將捕獲的流量發送給支持人員，請將其保存為 *.pcap 格式的文件。
    

在 Wireshark 中抓包

除了捕獲 http 流量外，您還可以在 Wireshark 中捕獲您需要的任何網絡數據。以下是如何做到這一點：

1. 打開 Wireshark。
   
2. 您將看到可以檢查的可用網絡連接列表。選擇您感興趣的一個。如果需要，您可以通過按“Shift + 左鍵單擊”一次分析多個網絡連接。
   
3. 現在你可以開始抓包了。您可以通過多種方式執行此操作：第一種是點擊左上角的魚翅圖標。第二個是點擊“捕捉”，然後點擊“開始”。第三種開始捕獲的方法是點擊“Ctrl + E”。
   

在抓包的時候，Wireshark 會實時顯示所有抓包。完成捕獲數據包後，您可以使用相同的按鈕/快捷方式停止捕獲。

Wireshark 過濾器

Wireshark 成為當今最著名的協議分析器之一的原因之一是它能夠對捕獲的數據包應用各種過濾器。Wireshark 過濾器可分為捕獲過濾器和顯示過濾器。

捕獲過濾器

這些過濾器在捕獲數據之前應用。如果 Wireshark 捕獲的數據與過濾器不匹配，它不會保存它們，您也看不到它們。因此，如果您知道要查找的內容，則可以使用捕獲過濾器來縮小搜索範圍。

以下是您可以使用的一些最常用的捕獲過濾器：

• host 192.168.1.2 – 捕獲與 192.168.1.2 相關的所有流量。
• 端口 443 – 捕獲與端口 443 關聯的所有流量。
• port not 53 – 捕獲除與端口 53 關聯的流量之外的所有流量。

顯示過濾器

根據您分析的內容，您捕獲的數據包可能很難通過。如果您知道要查找的內容，或者想要縮小搜索範圍並排除不需要的數據，則可以使用顯示過濾器。

以下是您可以使用的一些顯示過濾器：

• http – 如果您捕獲了許多不同的數據包，但您只想查看基於 http 的流量，您可以應用此顯示過濾器，Wireshark 將只顯示那些數據包。
• http.response.code == 404 – 如果您在加載某些網頁時遇到問題，這個過濾器可能會有用。如果你應用它，Wireshark 將只顯示響應“404: Page not found”的數據包。

重要的是要注意捕獲和顯示過濾器之間的區別。如您所見，您之前應用捕獲過濾器，並在捕獲數據包之後顯示過濾器。使用捕獲過濾器，您可以丟棄所有不適合過濾器的數據包。使用顯示過濾器，您不會丟棄任何數據包。您只需將它們從 Wireshark 的列表中隱藏起來。

其他 Wireshark 功能

雖然捕獲和過濾數據包是 Wireshark 出名的原因，但它也提供了不同的選項，可以使您的過濾和故障排除更加容易，特別是如果您是新手。

著色選項

您可以根據不同的顯示過濾器為數據包列表中的數據包著色。這使您可以強調要分析的數據包。

有兩種類型的著色規則：臨時的和永久的。臨時規則僅在您關閉程序之前應用，而永久規則將被保存，直到您將它們改回。

您可以在此處下載示例著色規則，也可以創建您自己的規則。

混雜模式

Wireshark 捕獲進出運行它的設備的流量。通過啟用混雜模式，您可以捕獲 LAN 上的大部分流量。

命令行

如果您在沒有 GUI（圖形用戶界面）的情況下運行系統，則可以使用 Wireshark 的命令行界面。您可以捕獲數據包並在 GUI 上查看它們。

統計數據

Wireshark 提供了一個“統計”菜單，您可以使用它來分析捕獲的數據包。例如，您可以查看文件屬性、分析兩個 IP 地址之間的流量等。

常見問題

如何讀取 WireShark 捕獲的數據？

完成捕獲數據包後，Wireshark 將在數據包列表窗格中顯示所有這些數據包。如果您想專注於特定的捕獲，請雙擊它，您可以閱讀有關它的更多信息。

您可以決定在單獨的窗口中打開特定的捕獲以便於分析：

1. 選擇你要閱讀的數據包。

2. 右擊它。

3. 點擊“查看”。

4. 點擊“在新窗口中顯示數據包”。

以下是數據包列表窗格中的一些詳細信息，可幫助您閱讀捕獲：

1. No. – 捕獲的數據包的編號。

2. 時間——這顯示了數據包被捕獲的時間以及您開始捕獲的時間。您可以在“設置”菜單中自定義和調整值。

3. 來源——這是一個地址形式的捕獲數據包的來源。

4. 目的地——捕獲數據包的目的地地址。

5. 協議——捕獲數據包的類型。

6. 長度——顯示捕獲數據包的長度。這以字節表示。

7. 信息——有關捕獲數據包的附加信息。您在此處看到的信息類型取決於捕獲的數據包的類型。

可以使用顯示過濾器縮小上述所有列的範圍。根據您的興趣，您可以通過應用不同的過濾器更輕鬆、更快速地解釋 Wireshark 捕獲。

在魚的世界裡，做一個 Wireshark

現在您已經了解瞭如何在 Wireshark 中捕獲 http 流量，以及有關該程序的有用信息。如果您想檢查網絡、解決問題或確保一切正常，Wireshark 是適合您的工具。它易於使用和解釋，而且是免費的。

您以前使用過 Wireshark 嗎？在下面的評論部分告訴我們。