wireshark抓包实验结果(WireShark抓包)

你的显示过滤器输入了udp，当然就只显示udp的包了。显示过滤器就是工具条下面的那个，Filter后面的那个框。你具体想问什么？
抓包的时候过滤，wireshark不是很好用。 最好就全抓，然后用filter过滤。图片里面是用udp对显示进行过滤的。可以将显示的包保存下来，就只有udp了。

一、  wireshark是捕获机器上的某一块网卡的网络包 ，当你的机器上有多块网卡的时候，你需要选择一个网卡。 例如，我测试本地连接，直接选择“本地连接”，进入如下界面二、 WireShark 主要分为这几个界面1. Display Filter(显示过滤器)，  用于过滤2. Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表不同的协议，你也可以修改这些显示颜色的规则，  View ->Coloring Rules.3. Packet Details Pane(封包详细信息), 显示封包中的字段Frame:   物理层的数据帧概况Ethernet II: 数据链路层以太网帧头部信息Internet Protocol Version 4: 互联网层IP包头部信息Transmission Control Protocol:  传输层T的数据段头部信息，此处是TCPHypertext Transfer Protocol:  应用层的信息，此处是HTTP协议4. Dissector Pane(16进制数据)5. Miscellanous(地址栏，杂项)wireshark顶部显示过滤器使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。过滤器有两种，一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。 在Capture -> Capture Filters 中设置保存过滤1）设置显示过滤器，按如下步骤进行编辑过滤表达式的规则表达式规则1. 协议过滤比如TCP，只显示TCP协议。2. IP 过滤比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102，ip.dst==192.168.1.102, 目标地址为192.168.1.1023. 端口过滤tcp.port ==80,  端口为80的tcp.srcport == 80,  只显示TCP协议的愿端口为80的。4. Http模式过滤http.request.method=="GET",   只显示HTTP GET方法的。5. 逻辑运算符为 AND/ OR常用的过滤表达式三、 wireshark与对应的OSI七层模型TCP包的具体内容从下图可以看到wireshark捕获到的TCP包中的每个字段。四、实例分析TCP三次握手过程看到这， 基本上对wireshak有了初步了解， 现在我们看一个TCP三次握手的实例三次握手过程为这图我都看过很多遍了， 这次我们用wireshark实际分析下三次握手的过程。打开wireshark, 打开浏览器输入http://www.cr173.com在wireshark中输入http过滤， 然后选中GET /tankxiao HTTP/1.1的那条记录，右键然后点击"Follow TCP Stream",这样做的目的是为了得到与浏览器打开网站相关的数据包，将得到如下图图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的， 这说明HTTP的确是使用TCP建立连接的。第一次握手数据包客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。 如下图第二次握手的数据包服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图第三次握手的数据包客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图: 就这样通过了TCP三次握手，建立了连接

启动wireshark后，选择工具栏中的快捷键（红色标记的按钮）即可Start a new live capture。 主界面上也有一个interface list（如下图红色标记1），列出了系统中安装的网卡，选择其中一个可以接收数据的的网卡也可以开始抓包。在启动时候也许会遇到这样的问题：弹出一个对话框说 NPF driver 没有启动，无法抓包。在win7或Vista下找到C: systemsystem32下的cmd.exe 以管理员身份运行，然后输入 net start npf，启动NPf服务。重新启动wireshark就可以抓包了。抓包之前也可以做一些设置，如上红色图标记2，点击后进入设置对话框，具体设置如下：Interface：指定在哪个接口（网卡）上抓包（系统会自动选择一块网卡）。Limit each packet：限制每个包的大小，缺省情况不限制。Capture packets in promiscuous mode：是否打开混杂模式。如果打开，抓 取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。Filter：过滤器。只抓取满足过滤规则的包。File：可输入文件名称将抓到的包写到指定的文件中。Use ring buffer： 是否使用循环缓冲。缺省情况下不使用，即一直抓包。循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。Update list of packets in real time：如果复选框被选中，可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。单击“OK”按钮开始抓包，系统显示出接收的不同数据包的统计信息，单击“Stop”按钮停止抓包后，所抓包的分析结果显示在面板中，如下图所示：为了使抓取的包更有针对性，在抓包之前，开启了QQ的视频聊天，因为QQ视频所使用的是UDP协议，所以抓取的包大部分是采用UDP协议的包。3、对抓包结果的说明wireshark的抓包结果整个窗口被分成三部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。使用wireshark可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等。上图的数据包列表中，第一列是编号（如第1个包），第二列是截取时间（0.000000），第三列source是源地址（115.155.39.93），第四列destination是目的地址（115.155.39.112），第五列protocol是这个包使用的协议（这里是UDP协议），第六列info是一些其它的信息，包括源端口号和目的端口号（源端口：58459，目的端口：54062）。中间的是协议树，如下图：通过此协议树可以得到被截获数据包的更多信息，如主机的MAC地址（Ethernet II）、IP地址（Internet protocol）、UDP端口号（user datagram protocol）以及UDP协议的具体内容（data）。最下面是以十六进制显示的数据包的具体内容，如图：这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便的对各种协议的数据包进行分析。4、验证网络字节序网络上的数据流是字节流，对于一个多字节数值（比如十进制1014 = 0x03 f6），在进行网络传输的时候，先传递哪个字节，即先传递高位“03”还是先传递低位“f6”。 也就是说，当接收端收到第一个字节的时候，它是将这个字节作为高位还是低位来处理。下面通过截图具体说明：最下面是物理媒体上传输的字节流的最终形式，都是16进制表示，发送时按顺序先发送00 23 54 c3 …00 03 f6 …接收时也按此顺序接收字节。 选中total length：1014， 它的十六进制表示是0x03f6， 从下面的蓝色选中区域可以看到，03在前面，f6在后面，即高字节数据在低地址，低字节数据在高地址（图中地址从上到下从左到右依次递增），所以可知，网络字节序采用的是大端模式。

你直接抓会有大量大量无用的干扰包（比如你的ARP请求，你电脑的其他软件的后台更新等等），建议你做个过滤器，只抓取你本机到新浪的会话（或者只抓取HTTP协议），然后所得的数据包都是你想要的，这整个包就是从你发起访问到新浪服务器回复给你的数据包
可以提供偏移量来取对应的字节 判断啊

本文在树莓派4b上测试wireshark网络抓包。安装图形界面wireshark，sudo apt-get install wireshark 。安装完成后后，在图形界面没有显示接口，比如笔者的waln0就没有显示，在命令行输入dumpcap -h 查看具体的命令格式，dump -i wlan0实时捕捉时显示没有权限，这个需要sudo chmod +x  /usr/bin/dumpcap  添加权限即可。当然，图形界面和windows一样的，抓包以及查看数据包没啥好说的，重点说说wireshark命令行工具tshark。因为wireshark软件不能在命令行从文件分析数据包，只能抓包。生成的记录文件在shell命令行more命令打开后乱码状态。 笔者在删除wireshark软件时遇到一个问题，卸载并清除配置apt-get remove --purge wireshark后显示正在删除，可是发现wireshark软件依然存在，也可以正常拉起进程，后来发现是wireshark依赖的很多软件包没有删除，apt-get autoremove wireshark:卸载软件及其依赖的安装，解决问题。查找tshark的源是有的，console version。sudo apt-get install tshark。安装后一样的，需要配置权限。tshark -h可查看命令帮助信息。  那就来测试一下，tshark -i wlan0直接在终端上显示捕捉到的网络包列表。 tshark -i wlan0 -w capture.pcap 用网卡wlan0捕捉数据包写入capture.pcap文件。 tshark -i wlan0 -r capture.pcap，读取capture.pcap文件内容。