wireshark理想的接入环境是集线器,但现在市场上基本已经没有纯粹的集线器卖了,现在市场上所谓的集线器大都是小交换之类的。众所周知,交换机路由器的流量都是发往目的端口的,即目的端口只会接收发往自己的数据包,而集线器则是广播型的把数据包发往整个广播域的所有端口,所以在集线器上抓包是最理想的。
wireshark在抓包时可以采取过滤的方式,只抓取想要抓取的数据包,也可以不设置过滤,这时就会抓取网络上所有的数据包。wireshark抓取的数据包中,不同协议的数据包以不同的颜色高亮显示,而在主菜单的view中选择coloring rules可以手动改变各协议显示的颜色。
打开wireshark后,在主菜单中选择capture中的interface(或者在主菜单下面的图标中选择第一个图标),在弹出的对话框中选择比较活跃的一个网络连接(网卡),最后选择start即可。当要停止抓包时只需要选择capture中的stop选项,或者主菜单下面的stop图标即可。接着就可以对抓取到的数据包进行分析了。
如果只需要查看其中一种或两种数据包,可以对抓取的数据包进行过滤,这样对特定协议的数据包查看起来就非常方便。如:在filter:的输入栏中输入tcp,则抓取的数据包只显示tcp协议的。
最后,我们还可以对抓取的数据包结果进行保存,这样下次我们就可以重新查看这一次的抓包结果。
(我用的wireshark是1.10.5的)
以上是如何进行wireshark简单运用的详细内容。更多信息请关注PHP中文网其他相关文章!