通過前面的部分，我們對Wireshark界面主體內容有了大致了解。這一節主要介紹如何抓包，抓包后的界面顯示（因為Wireshark打開數據包后又是另一副界面）。如何保存或導出抓取的報文等內容。

第一次抓包

現在可以開始你的第一次數據包捕獲實驗了。你可能會想:“當網絡什么問題也沒有的時候,怎么能捕獲數據包呢?“

首先，網絡總是有問題的。

第二，做數據包分析并不一定要等到有問題的時候再做。事實上，大多數的數據包分析員在分析沒有問題的網絡流量上花的時間要比解決問題的時候多。為了能高效地解決網絡問題,你也同樣需要得到一個基準來與之對比。舉例來說,如果你想通過分析網絡流量來解決關于DHCP的問題,你至少需要知道DHCP在正常工作時的數據流是什么樣子的。

更廣泛地講,為了能夠發現日常網絡活動的異常,你必須對日常網絡活動的情況有所掌握。當你的網絡正常運行時,你以此作為基準,就能知道網絡流量在正常情況下的樣子。

OK，讓我們一起動手，開始采集數據包吧。

首先打開Wireshark，雙擊顯示有流量的網卡。如下圖。

這樣，就已經開始數據包捕獲了，很輕松吧。

接下來，你可能看到了如下的畫面。

Wireshark主窗口

Wireshark主窗口將你所捕獲的數據包顯示或拆分成更容易使人理解的方式的地方,也將是你花費時間最多的地方。我們使用剛剛捕獲的數據包來介紹一下Wireshark的主窗口。

Wireshark主窗口的設計使用了3個面板，主窗口的3個面板相互有著聯系。

如果希望在 Packet Details(數據包細節)面板中查看一個單獨的數據包的具體內容,你必須現在Packet List(數據包列表)面板中單擊選中那個數據包。在你選中了數據包之后,你可以通過在Packet Details面板中選中數據包的某個字段,從而在 Packet Bytes(數據包細節)面板中查看相應字段的字節信息。

下面介紹了每個面板的內容。

Packet List(數據包列表):最上面的面板用表格顯示了當前捕獲文件中的所有數據包,其中包括了數據包序號、數據包被捕獲的相對時間、數據包的源地址和目標地址、數據包的協議以及在數據包中找到的概況信息等列。

Packet Details(數據包細節):中間的面板分層次地顯示了一個數據包中的內容,并且可以通過展開或是收縮來顯示這個數據包中所捕獲到的全部內容。

Packet Bytes(數據包字節):最下面的面板可能是最令人困惑的,因為它顯示了一個數據包未經處理的原始樣子,也就是其在網絡上傳輸時的樣子。這些原始數據看上去一點都不容易理解。

保存和導出數據包

數據包采集完成后，可以像文件一樣保存，你也可以將這個保存后的文件傳給朋友，他們使用Wireshark依舊能夠打開。這個常見的word文檔道理類似。

選擇工具條中的保存捕獲文件按鈕，在彈出的窗口中，寫上文件名和選擇保存目錄，這個抓包文件就被成功保存了。

總結

以上是生活随笔為你收集整理的wireshark tcp抓包分析_网络分析系列之八_使用Wireshark抓包的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。