一 : Ubuntu下使用wireshark进行网络抓包

下面是在Ubuntu中进行网络抓包的教程。

“www.61k.com）

1.安装wireshark

终端运行：sudo apt-get install wireshark

2.修改init.lua

直接运行wireshark的话会报错：

Lua: Error during loading:
[string "/usr/share/wireshark/init.lua"]:45: dofile has been disabled

要对其进行修改，终端运行

sudo gedit /usr/share/wireshark/init.lua

倒数第二行改为--dofile(DATA_DIR.."console.lua")

3.启动软件

终端运行：sudo wireshark

点击左上角的图标，接下来会提示选择网络端口，我用的是有线，选择eth0.

4.分析TCP三次握手过程

我们都知道，在正常情况下的，TCP的连接建立是通过三次握手过程来完成的，如下图展示的一样:

具体描述是：

第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认；
第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；

第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。 完成三次握手，客户端与服务器开始传送数据.

打开wireshark之后，软件开始监听，我们随便在浏览器中点击一个网站，这个时候电脑就会和别的服务器建立理解，然后就会产生三次握手的报文了。

下面就是我抓到的一些包，看红线部分：

第一次握手：ack=0，syn=1；客户向服务器请求。

第二次握手：ack=1，syn=1.服务器回复。

第三握手：ack=1，syn=0.客户确认。

二 : Linux下Wireshark的网络抓包使用方法

Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。
与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。

Wireshark的优势：

- 安装方便。

- 简单易用的界面。

- 提供丰富的功能。

Wireshark的原名是Ethereal，新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司，并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个新名字也就应运而生了。

Wireshark目前世界上最受欢迎的协议分析软件，利用它可将捕获到的各种各样协议的网络二进制数据流翻译为人们容易读懂和理解的文字和图表等形式，极大地方便了对网络活动的监测分析和教学实验。它有十分丰富和强大的统计分析功能，可在Windows，Linux 和UNIX等系统上运行。此软件于1998年由美国Gerald Combs首创研发，原名Ethereal，至今世界各国已有100多位网络专家和软件人员正在共同参与此软件的升级完善和维护。它的名称于2006年5月由原Ethereal改为Wireshark。至今它的更新升级速度大约每2～3个月推出一个新的版本，2007年9月时的版本号为0.99.6。但是升级后软件的主要功能和使用方法保持不变。它是一个开源代码的免费软件，任何人都可自由下载，也可参与共同开发。

    Wireshark网络协议分析软件可以十分方便直观地应用于计算机网络原理和网络安全的教学实验，网络的日常安全监测，网络性能参数测试，网络恶意代码的捕获分析，网络用户的行为监测，黑客活动的追踪等。因此它在世界范围的网络管理专家，信息安全专家，软件和硬件开发人员中，以及美国的一些知名大学的网络原理和信息安全技术的教学、科研和实验工作中得到广泛的应用。

    在安装新旧版本软件包和使用中，Ethereal与Wireshark的一些细微区别如下：

  （1）Ethereal软件安装包中包含的网络数据采集软件是winpcap 3.0的版本，保存捕获数据时只能用英文的文件名，文件名默认后缀为 .cap

  （2）Wireshark软件安装包中，目前包含的网络数据采集软件是winpcap 4.0版本，保存捕获数据时可以用中文的文件名，文件名默认后缀为 .pcap。另外，Wireshark可以翻译解释更多的网络通信协议数据，对网络数据流具有更好的统计分析功能，在网络安全教学和日常网络监管工作中使用更方便，而基本使用方法仍然与Ethereal相同。

winpcap(windows packet capture)是windows平台下一个免费，公共的网络访问系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。

在Linux下，当我们需要抓取网络数据包分析时，通常是使用tcpdump抓取网络raw数据包存到一个文件，然后下载到本地使用wireshark界面网络分析工具进行网络包分析。
最近才发现，原来wireshark也提供有Linux命令行工具-tshark。tshark不仅有抓包的功能，还带了解析各种协议的能力。下面我们以两个实例来介绍tshark工具。
1、安装方法
CentOS:

yum install -y wireshark

Ubuntu:

apt-get install -y tshark

2、实时打印当前http请求的url(包括域名)

tshark -s 512 -i eth0 -n -f 'tcp dst port 80' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l | tr -d 't'

下面介绍参数含义：
-s 512 :只抓取前512个字节数据
-i eth0 :捕获eth0网卡
-n :禁止网络对象名称解析
-f ‘tcp dst port 80′ :只捕捉协议为tcp,目的端口为80的数据包
-R ‘http.host and http.request.uri’ :过滤出http.host和http.request.uri
-T fields -e http.host -e http.request.uri :打印http.host和http.request.uri
-l ：输出到标准输出
3、实时打印当前mysql查询语句

tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query

下面介绍参数含义：
-s 512 :只抓取前512个字节数据
-i eth0 :捕获eth0网卡
-n :禁止网络对象名称解析
-f ‘tcp dst port 3306′ :只捕捉协议为tcp,目的端口为3306的数据包
-R ‘mysql.query’ :过滤出mysql.query
-T fields -e mysql.query :打印mysql查询语句
tshark使用-f来指定捕捉包过滤规则，规则与tcpdump一样，可以通过命令man pcap-filter来查得。
tshark使用-R来过滤已捕捉到的包，与界面版wireshark的左上角Filter一致。

三 : 最新wireshark抓包教程 图文大图版

大家都知道，sniffer是一款收费产品， 要真正的学会使用，因为有许多的参数设置，还是有一点的难度。我要给大家推荐的是wireshark，  Wireshark 开源， 设置简单，而且当前应用非常广泛， 在许多的大型企业，以及数据中心都有用到。

Wireshark 1.12.0

软件名称：

Wireshark 网络分析器 2.0.2 Stable Release 绿色英文便携版 Unix和Windows网络协议分析器

软件大小：

29MB

更新时间：

2016-02-28

Windows 32位系统的电脑

方法/步骤

1、首先大家可以去官网上下载最新的而且稳定的版本：Wireshark 1.12.0

2、安装完成之后， 将进入如图所示的wireshark 运行界面

3、如果您的电脑上有多块网卡， 您可以首先点击“capture” -- “interface”，查看有哪些网卡网卡可以获取流量

4、确定好用来抓取流量的网卡后， 您可以点击“capture”--“options”，注意网卡一定要选中混杂模式“use promiscuous mode on all interfaces"，否则你是无法获取内网的其他信息。

5、如果您要获取内网的所有信息，在”capture filter“ 可以为空。如果您要获取到网关：192.168.0.1的信息，可以在”capture fileter“这里设置：host 192.168.0.1

6、点击”start“ ， 就可以看到内网的实时数据了， 如图所示：

7、如果您需要查看的是arp 协议的数据包， 一段时间后，点击”stop“，然后在”filter“选项那里， 输入arp ， 点击”apply“ ， 就可以查到本次所有抓获的arp 数据包了。

注意事项

本次使用的是Windows 32 最新版的Wireshark 1.12.0，大家可以自行去官网下载对应的版本。wireshark 功能非常强大，深入研究对于了解网络的协议有非常大的帮助

四 : 快速掌握Wireshark抓包工具

[wireshark抓包分析]快速掌握Wireshark抓包工具——简介
网络通讯抓包的用处多种多样，安全分析、网络监测、软件分析等等......相信看到这篇经验的人也有自己的用处。下面我在这里分享一个最常用的抓包软件的使用心得，Wireshark的快速上手。
[wireshark抓包分析]快速掌握Wireshark抓包工具——知识点
电脑一台Wireshark软件一套[wireshark抓包分析]快速掌握Wireshark抓包工具——详细知识

[wireshark抓包分析]快速掌握Wireshark抓包工具 一
首先下载并安装Wireshark软件，最好选择中文版，因为会使你用的更顺手。

[wireshark抓包分析]快速掌握Wireshark抓包工具 二
安装完毕之后，双击打开Wireshark软件，主界面还是比较清晰明了的，可是怎么用还是稀里糊涂的吧。

[wireshark抓包分析]快速掌握Wireshark抓包工具 三
点击菜单栏红圈中的选项——列出可抓包的接口，其实也就是网卡咯，然后会弹出抓包接口对话框。

[wireshark抓包分析]快速掌握Wireshark抓包工具 四
这里列出了可抓包的接口，一般而言，你有几块网卡，就会列出几个。
而红圈中，数据包数量不为零的，就是你正在使用的网卡，就用它来抓包了。点击该网卡后面的选项进行设置。

[wireshark抓包分析]快速掌握Wireshark抓包工具 五
链路层头类型选择Ethernet，并勾选在混乱模式下抓包，其他保持默认即可。
然后点击开始抓包。

[wireshark抓包分析]快速掌握Wireshark抓包工具 六
这样抓包工具就开始运行了，局域网中的网络活动会被抓下来。下图中标出了抓到的数据包的基本信息结构。

[wireshark抓包分析]快速掌握Wireshark抓包工具 七
一般来所，抓包是有针对性的，因此要用到过滤功能，滤掉无用的数据包，以便凸显目标IP的数据包。下图中给出了基本的IP过滤语言，由于语言很多，这里不做详细分析。

[wireshark抓包分析]快速掌握Wireshark抓包工具 八
抓到了有用的数据包之后，就可以选择停止抓包，对已有的数据包进行分析，也可以重新进行抓包。
至此，该软件的基本使用，相信是没什么问题了，更详细的功能就需要大家各自发挥了~~
[wireshark抓包分析]快速掌握Wireshark抓包工具——注意事项
本经验谨供学习参考使用，切勿用作不正当用途，特此声明 本文标题：抓包工具wireshark-Ubuntu下使用wireshark进行网络抓包
本文地址： http://www.61k.com/1131247.html