WireShark网络封包抓包工具各个界面介绍

1、开始捕获前的界面

打开 Wireshark ，初始界面从上到下是主工具栏、显示和捕获过滤器以及状态工具栏。

详细介绍：

1. 主工具栏包含了开始捕获、停止捕获、显示最新分组等操作的按键；
2. 显示过滤器可输入过滤规则，使分组列表窗口仅显示符合规则的数据包；
3. 捕获过滤器可输入规则，在抓包的时候捕获符合规则的数据包；
4. 状态工具栏则显示软件当前状态与已捕获&显示的分组数量。

2、捕获时的界面

开始捕获后，Wireshark 会将捕获到的报文显示在界面上。

详细介绍：

1. 分组列表显示所有捕获到的报文，顶部为报文序号等各种关键字段；
2. 分组详情显示选中报文的分层情况；
3. 分组字节流显示选中报文的16进制与ASCII码编码的字节流。

分组列表

1）分组列表显示每个数据包的各种字段，并默认按照序号/捕获时间升序排列分组。（若想要以某个字段降序排列，点击该字段即可。）

 

2）为了方便查看报文中的关键字段，可以①右键字段栏，②点击  Column Preferences ，③添加字段。

例如：添加HTTP协议的host字段和TLS协议的 server_name 字段。 

3）额外说明：捕获界面的最左侧的No.列

选中某个数据包时，Wireshark分组列表的No.列会显示一些符号，这些符号标识的是数据包与数据包之间的关系，这里罗列一下 Wireshark 官网的解释： 

分组详情

分组详情窗口是TCP/IP五层模型最好的结构化展示，从上到下分别是： 

展开各层，能看到 Wireshark抓包工具 对各个字段的解析和注释。 

标准协议的 RFC 文档阅读起来比较费劲，对照 Wireshark 抓包工具的解析，能更好地理解标准协议的字段格式。 

　　　　　　　　　　　　　　　　　　　　　　　RFC 791 中对 IP 协议头部的描述

部分分组的分组详情窗口内包含 URI 超链接，或者与其有关系的另一个分组的超链接，双击即可跳转。

　　　　　　　　　　　　　　　　前一个请求在86帧，响应在291帧，下一个请求在296帧

分组字节流

1）分组字节流窗口中显示的是十六进制与ASCII字符对照形式的分组字节内容（不包含物理层的字节），即数据包在链路上传播时的原始字节流。 

2）分组字节流窗口中的字节和分组详情中的字段是一一对应的：点击字段会选中字节内容；点击某个字节16进制值会选中对应的字段。 

3）可以使用这个窗口来观察一些私有协议的字段格式。

 　　　　　　　　 十六进制值与ASCII码也是对应的，GET 的 ASCII码为 0x474554

4）总结：

从分组列表到分组详情，再到分组字节流，可以看到 Wireshark 抓包工具 是如何从大到小为我们显示多个分组——单个分组的多层结构——未解析时的原始字节流。从下而上逆推，我们可以体会到网卡和协议栈是如何实现数据包解析的。 

3、主工具栏中常用的按键

实践中有4个按键比较常用：开始捕获、停止捕获、重新开始捕获和显示最新的分组。 

捕获的三个按键比较好理解，不做解释。

选中显示最新的分组后，分组列表会一直滚动显示最新捕获的分组。如果要查看某个报文，可以滚动鼠标滑轮，此时分组详情会停止滚动。 

 

 

 

 

转载至：https://www.bilibili.com/read/cv15076127?spm_id_from=333.999.0.0