wireshark抓包分析 _生活经验

如何通过wireshark进行抓包的分析？Wireshark是一个网络协议检测工具，支持Windows平台和Unix平台，我一般只在Windows平台下使用Wireshark，如果是Linux的话，我直接用tcpdump了，因为我工作环境中的Linux一般只有字符界面，且一般而言Linux都自带的tcpdump，或者用tcpdump抓包以后用Wireshark打开分析。tcpdump是基于Unix系统的命令行式的数据包嗅探工具。如果要使用tcpdump抓取其他主机MAC地址的数据包，必须开启网卡混杂模式，所谓混杂模式，用最简单的语言就是让网卡抓取任何经过它的数据包，不管这个数据包是不是发给它或者是它发出的。
如何用wireshark分析抓包Wireshark是一个抓取网络数据包的工具，这对分析网络问题是很重要的，下文将会简单的介绍下如何使用Wireshark来抓包。1、在如下链接下载“Wireshark”并在电脑上安装。2、如果之前没有安装过“Winpcap”请在下面把安装“Winpcap”的勾选上。

如何通过wireshark进行抓包的分析WireShark 主要分为这几个界面
1. Display Filter(显示过滤器)，用于过滤
2. Packet List Pane(封包列表)，显示捕获到的封包，有源地址和目标地址，端口号。颜色不同，代表
3. Packet Details Pane(封包详细信息), 显示封包中的字段
4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏，杂项)

使用过滤是非常重要的，初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。
过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
过滤器有两种，
一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录
一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。在Capture -> Capture Filters 中设置
保存过滤
在Filter栏上，填好Filter的表达式后，点击Save按钮，取个名字。比如"Filter 102",

wireshark抓包只后数据怎么分析？在菜单栏里有分析功能选项

怎样看wireshark抓包的数据启动wireshark后，选择工具栏中的快捷键（红色标记的按钮）即可Start a new live capture 。

主界面上也有一个interface list（如下图红色标记1），列出了系统中安装的网卡，选择其中一个可以接收数据的的网卡也可以开始抓包。
在启动时候也许会遇到这样的问题：弹出一个对话框说 NPF driver 没有启动，无法抓包。在win7或Vista下找到C: \system\system32下的cmd.exe 以管理员身份运行，然后输入 net start npf ，启动NPf服务。
重新启动wireshark就可以抓包了。

抓包之前也可以做一些设置，如上红色图标记2 ，点击后进入设置对话框，具体设置如下：
Interface：指定在哪个接口（网卡）上抓包（系统会自动选择一块网卡）。
Limit each packet：限制每个包的大小，缺省情况不限制。
Capture packets in promiscuous mode：是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。
Filter：过滤器。只抓取满足过滤规则的包。
File：可输入文件名称将抓到的包写到指定的文件中。
Use ring buffer：是否使用循环缓冲。缺省情况下不使用，即一直抓包。循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。
Update list of packets in real time：如果复选框被选中，可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。
单击“OK”按钮开始抓包，系统显示出接收的不同数据包的统计信息，单击“Stop”按钮停止抓包后，所抓包的分析结果显示在面板中，如下图所示：

为了使抓取的包更有针对性，在抓包之前，开启了QQ的视频聊天，因为QQ视频所使用的是UDP协议，所以抓取的包大部分是采用UDP协议的包。
3、对抓包结果的说明
wireshark的抓包结果整个窗口被分成三部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。

使用wireshark可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等。

上图的数据包列表中，第一列是编号（如第1个包），第二列是截取时间（0.000000），第三列source是源地址（115.155.39.93），第四列destination是目的地址（115.155.39.112），第五列protocol是这个包使用的协议（这里是UDP协议），第六列info是一些其它的信息，包括源端口号和目的端口号（源端口：58459，目的端口：54062）。

中间的是协议树，如下图：

通过此协议树可以得到被截获数据包的更多信息，如主机的MAC地址（Ethernet II）、IP地址（Internet protocol）、UDP端口号（user datagram protocol）以及UDP协议的具体内容（data）。

最下面是以十六进制显示的数据包的具体内容，如图：

这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便的对各种协议的数据包进行分析。
4、验证网络字节序
网络上的数据流是字节流，对于一个多字节数值（比如十进制1014 = 0x03 f6），在进行网络传输的时候，先传递哪个字节，即先传递高位“03”还是先传递低位“f6” 。也就是说，当接收端收到第一个字节的时候，它是将这个字节作为高位还是低位来处理。
下面通过截图具体说明：

最下面是物理媒体上传输的字节流的最终形式，都是16进制表示，发送时按顺序先发送00 23 54 c3 …00 03 f6 …接收时也按此顺序接收字节。
选中total length：1014，它的十六进制表示是0x03f6，从下面的蓝色选中区域可以看到，03在前面， f6在后面，即高字节数据在低地址，低字节数据在高地址（图中地址从上到下从左到右依次递增），所以可知，网络字节序采用的是大端模式。

wireshark抓包分析不会？求大神解释估计你是英文不太行，建议下载科来分析系统，只需要一个邮箱，免费用一年。全中文。

wireshark怎么抓包分析网络故障实战【WireShark概览】
1、Wireshark 是网络报文分析工具。网络报文分析工具的主要作用是尝试捕获网络报文，并尝试显示报文尽可能详细的内容。过去的此类工具要么太贵，要么是非公开的。直到Wireshark（Ethereal）出现以后，这种情况才得以改变。Wireshark可以算得上是今天能使用的最好的开源网络分析软件。2、WireShark简史：1997年，Gerald Combs 需要一个工具追踪网络问题，并且想学习网络知识。所以他开始开发Ethereal (Wireshark项目以前的名称) 以解决自己的需求。1998年， Ethreal0.2.0版诞生了。此后不久，越来越多的人发现了它的潜力，并为其提供了底层分析。2006年Ethreal改名为Wireshark 。2008年，在经过了十年的发展后，Wireshark发布了1.0版本。3、WireShark的主要作用，就是可以抓取各种端口的报文，包括有线网口、无线网口、USB口、LoopBack口等等，从而就可以很方便地进行协议学习、网络分析、系统排错等后续任务。4、不同平台下的WireShark：目前WireShark支持几乎所有主流报文文件，包括pcap，cap，pkt ， enc等等。但是不同平台下的WireShark却有功能上的不同。总体来说，Linux版本WireShark的功能和特性比Windows版本的要丰富和强大。例如，Linux版本的WireShark可以直接抓取USB接口报文，而Windows版本就不行。

Figure 1，Linux下的WireShark

Figure 2，Windows下WireShark

Figure 3 ，各平台下的WireShark所支持的协议

各平台下的WireShark支持的协议如上图所示。从图中可以看到Linux下的版本功能最强大，由于平台本身特性，可以使WireShark几乎支持所有协议。但由于我们平时工作中主要抓取以太网报文，且绝大部分的操作系统都是Windows ，所以本文还是以Windows平台下的WireShark为例来进行说明。

【如何正确使用WireShark抓取报文】
1、WireShark组网拓扑。为了抓到HostA与HostB之间的报文，下面介绍几种WireShark组网。
i.在线抓?。喝绻鸚ireShark本身就是组网中的一部分，那么，很简单，直接抓取报文就行了。

ii. 串联抓?。捍橥窃诒ㄎ牧绰分屑浯桓錾璞? ，利用这个中间设备来抓取报文。这个中间设备可以是一个HUB，利用HUB会对域内报文进行广播的特性，接在HUB上的WireShark也能收到报文。

若是WireShark有双网卡，正确设置网络转发，直接串接在链路上。

也可以利用Tap分路器对来去的报文进行分路，把报文引到WireShark上。

串联组网的好处是报文都必须经过中间设备，所有包都能抓到。缺点是除非原本就已经规划好，不然要把报文链路断开，插入一个中间设备，会中断流量，所以一般用于学习研究，不适用于实际业务网以及工业现场以太网。

iii. 并联抓?。翰⒘橥墙钟辛髁客ü滞璞副旧淼奶匦越髁恳隼?。
若是网络本身通过HUB组网的，那么将WireShark连上HUB就可以。

若是交换机组网，那直接连上也能抓取广播报文。

当然，最常用的还是利用交换机的镜像功能来抓包。

并联组网的优点是不用破坏现有组网，适合有业务的在线网络以及工业现场以太网。缺点是HUB组网已经不常见，而交换机组网的设备开启镜像后，对性能有非常大的影响。

2、 WireShark的安装。WireShark是免费开源软件，在网上可以很轻松获取到。Windows版的WireShark分为32位而64位两个版本，根据系统的情况来决定安装哪一个版本，虽然64位系统装32位软件也能使用，但装相应匹配的版本，兼容性及性能都会好一些。在Windows下，WireShark的底层抓包工具是Winpcap，一般来说WireShark安装包内本身就包含了对应可用版本的Winpcap，在安装的时候注意钩选安装就可以。安装过程很简单，不再赘述。

3、使用WireShark抓取网络报文。Step1. 选择需要抓取的接口，点选Start就开始抓包。

4、使用WireShark抓取MPLS报文。对于mpls报文，wireshark可以直接抓取带MPLS标签的报文。

5、使用WireShark抓取带Vlan Tag的报文。早期网卡的驱动不会对VLAN TAG进行处理，而是直接送给上层处理，在这种环境下，WireShark可以正常抓到带VLAN TAG的报文。而Intel，broadcom ， marvell的网卡则会对报文进行处理，去掉TAG后再送到上层处理，所以WireShark在这种情况下通常抓不到VLAN TAG 。这时我们需要针对这些网卡做一些设置， WireShark才能够抓取带VLAN TAG的报文。1）. 更新网卡的最新驱动。2）. 按照以下说明修改注册表：a) Intel：HKEY_LOCAL_MACHINE\SYSTEM \ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} \00xx（where xx is the instance of the network adapter that you need to see tags on. ）PCI或者PCI-X网卡增加dword:MonitorModeEnabled，通常设置为1即可 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 802.1Q vlan tags) 1 - enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan tags) PCI-Express网卡增加dword:MonitorMode ，通常设置为1即可 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 802.1Q vlan tags) 1 - enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan btag) 2 - enabled strip vlan (Store bad packets. Store CRCs. Strip 802.1Q vlan tag as normal)；b) Broadcom：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet下搜索，找到"TxCoalescingTicks"并确认这是唯一的，增加一个新的字符串值"PreserveVlanInfoInRxPacket"，赋值1 。c) Marvell Yukon 88E8055 PCI-E 千兆网卡："HKLM\SYSTEM \CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318} \000"（where 000 is the number of the folder for the Marvel ethernet controller）增加DWORD：SkDisableVlanStrip：1；3）. 以Intel网卡为例，对网卡进行配置。选择Intel网卡的本地连接，右键属性

点击“配置”按钮。

在VLAN选项卡中，加入任意一个VLAN，激活接口的VLAN TAG上送功能。此时可以把“本地连接”接口看成是一个Trunk接口。

配置完VLAN后，如果发现系统禁用了“本地连接”接口，则只要启用它，会看到网络连接中会出现一个新的子接口“本地连接2” 。

在WireShark上查看抓取“本地连接”接口的报文。

可以看到已经可以抓到有VLAN TAG的报文了。

由于此时的子接口都是有VLAN属性的，所以无法当成正常的网卡来用。如果想要在抓VLAN包的同时，还能够与网络正常通信，只要再新建一个未标记的VLAN就行。

这时，会生成一个对应的子接口“本地连接3”，在这个接口上正确配置网络参数，就可以正常通信了。

wireshark抓包后我应该怎样分析呢？看什么关键点呢？怎样才能发现问题呢？有什么技巧吗？他不在中间的窗口都显示出来头部的信息了么，支持的协议的每个字段都有

我也有个问题
我用wireshark抓UDP包，他能把整个UDP包都保存下来吗？我的意思是保存下来的就是一个UDP包，没有任何其他东西（去掉前面的IP包头等等），我用follow udp stream功能只能保存UDP里的净荷，我还需要包头，怎么办？

如何通过wireshark进行抓包的分析启动wireshark后，选择工具栏中的快捷键（红色标记的按钮）即可Start a new live capture 。

主界面上也有一个interface list（如下图红色标记1），列出了系统中安装的网卡，选择其中一个可以接收数据的的网卡也可以开始抓包。
在启动时候也许会遇到这样的问题：弹出一个对话框说 NPF driver 没有启动，无法抓包。在win7或Vista下找到C: \system\system32下的cmd.exe 以管理员身份运行，然后输入 net start npf ，启动NPf服务。
重新启动wireshark就可以抓包了。

抓包之前也可以做一些设置，如上红色图标记2 ，点击后进入设置对话框，具体设置如下：
Interface：指定在哪个接口（网卡）上抓包（系统会自动选择一块网卡）。
Limit each packet：限制每个包的大小，缺省情况不限制。
Capture packets in promiscuous mode：是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。
Filter：过滤器。只抓取满足过滤规则的包。
File：可输入文件名称将抓到的包写到指定的文件中。
Use ring buffer：是否使用循环缓冲。缺省情况下不使用，即一直抓包。循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。
Update list of packets in real time：如果复选框被选中，可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。
单击“OK”按钮开始抓包，系统显示出接收的不同数据包的统计信息，单击“Stop”按钮停止抓包后，所抓包的分析结果显示在面板中，如下图所示：

为了使抓取的包更有针对性，在抓包之前，开启了QQ的视频聊天，因为QQ视频所使用的是UDP协议，所以抓取的包大部分是采用UDP协议的包。
3、对抓包结果的说明
wireshark的抓包结果整个窗口被分成三部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。

使用wireshark可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等。

上图的数据包列表中，第一列是编号（如第1个包），第二列是截取时间（0.000000），第三列source是源地址（115.155.39.93），第四列destination是目的地址（115.155.39.112），第五列protocol是这个包使用的协议（这里是UDP协议），第六列info是一些其它的信息，包括源端口号和目的端口号（源端口：58459，目的端口：54062）。

中间的是协议树，如下图：

通过此协议树可以得到被截获数据包的更多信息，如主机的MAC地址（Ethernet II）、IP地址（Internet protocol）、UDP端口号（user datagram protocol）以及UDP协议的具体内容（data）。

最下面是以十六进制显示的数据包的具体内容，如图：

这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便的对各种协议的数据包进行分析。
4、验证网络字节序
网络上的数据流是字节流，对于一个多字节数值（比如十进制1014 = 0x03 f6），在进行网络传输的时候，先传递哪个字节，即先传递高位“03”还是先传递低位“f6” 。也就是说，当接收端收到第一个字节的时候，它是将这个字节作为高位还是低位来处理。
下面通过截图具体说明：

最下面是物理媒体上传输的字节流的最终形式，都是16进制表示，发送时按顺序先发送00 23 54 c3 …00 03 f6 …接收时也按此顺序接收字节。
选中total length：1014，它的十六进制表示是0x03f6，从下面的蓝色选中区域可以看到，03在前面，f6在后面，即高字节数据在低地址，低字节数据在高地址（图中地址从上到下从左到右依次递增），所以可知，网络字节序采用的是大端模式。

wireshark除了抓包分析外，还有什么用不知道还能干什么。一个工具能完成一件事情就很不错了。如果你想做一些自定义的动作，学会写扩展就好了。

怎么通过wireshark抓包分析网络风暴启动wireshark后，选择工具栏中的快捷键（红色标记的按钮）即可Start a new live capture 。

主界面上也有一个interface list（如下图红色标记1），列出了系统中安装的网卡，选择其中一个可以接收数据的的网卡也可以开始抓包。
在启动时候也许会遇到这样的问题：弹出一个对话框说 NPF driver 没有启动，无法抓包。在win7或Vista下找到C: \system\system32下的cmd.exe 以管理员身份运行，然后输入 net start npf，启动NPf服务。
重新启动wireshark就可以抓包了。

抓包之前也可以做一些设置，如上红色图标记2，点击后进入设置对话框，具体设置如下：
Interface：指定在哪个接口（网卡）上抓包（系统会自动选择一块网卡）。
Limit each packet：限制每个包的大小，缺省情况不限制。
Capture packets in promiscuous mode：是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。
Filter：过滤器。只抓取满足过滤规则的包。
File：可输入文件名称将抓到的包写到指定的文件中。
Use ring buffer：是否使用循环缓冲。缺省情况下不使用，即一直抓包。循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。
Update list of packets in real time：如果复选框被选中，可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。
单击“OK”按钮开始抓包，系统显示出接收的不同数据包的统计信息，单击“Stop”按钮停止抓包后，所抓包的分析结果显示在面板中，如下图所示：

为了使抓取的包更有针对性，在抓包之前，开启了QQ的视频聊天，因为QQ视频所使用的是UDP协议，所以抓取的包大部分是采用UDP协议的包。
3、对抓包结果的说明
wireshark的抓包结果整个窗口被分成三部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。

使用wireshark可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等。

上图的数据包列表中，第一列是编号（如第1个包），第二列是截取时间（0.000000），第三列source是源地址（115.155.39.93），第四列destination是目的地址（115.155.39.112），第五列protocol是这个包使用的协议（这里是UDP协议），第六列info是一些其它的信息，包括源端口号和目的端口号（源端口：58459，目的端口：54062）。

中间的是协议树，如下图：

通过此协议树可以得到被截获数据包的更多信息，如主机的MAC地址（Ethernet II）、IP地址（Internet protocol）、UDP端口号（user datagram protocol）以及UDP协议的具体内容（data）。

最下面是以十六进制显示的数据包的具体内容，如图：

这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便的对各种协议的数据包进行分析。
4、验证网络字节序
网络上的数据流是字节流，对于一个多字节数值（比如十进制1014 = 0x03 f6），在进行网络传输的时候，先传递哪个字节，即先传递高位“03”还是先传递低位“f6” 。也就是说，当接收端收到第一个字节的时候，它是将这个字节作为高位还是低位来处理。
下面通过截图具体说明：

最下面是物理媒体上传输的字节流的最终形式，都是16进制表示，发送时按顺序先发送00 23 54 c3 …00 03 f6 …接收时也按此顺序接收字节。
选中total length：1014，它的十六进制表示是0x03f6，从下面的蓝色选中区域可以看到，03在前面， f6在后面，即高字节数据在低地址，低字节数据在高地址（图中地址从上到下从左到右依次递增），所以可知，网络字节序采用的是大端模式。

如何使用wireshark抓包分析抓取报文: 下载和安装好Wireshark之后，启动Wireshark并且在接口列表中选择接口名，然后开始在此接口上抓包。例如，如果想要在无线网络上抓取流量，点击无线接口。点击Capture Options可以配置高级属性，但现在无此必要。

wireshark 抓包数据如何分析？行为特征：地址连续
猜测：192.168.10.1正在进行地址扫描。
作为路由器自身是不需要做地址扫描的，这里有两种可能。
一：来自外部网络，正在对内网的IP进行扫描，这要看路由器采用的什么转换机制。进行解决
二：内网中有机器伪装成路由器08:10:17:23:28:14 - 192.168.10.1在进行扫描。如果上网可以通，只是速度慢，应该不可能这个对应关系都被伪装了。确认一下这个MAC - IP 对应关系可查出伪装主机。

另，网速慢跟这个关系不大，ARP包本身不大，也不需要占用路由器资源，除非扫描太过频繁。否则应查找其他原因。

如何用wireshark分析抓包启动wireshark后，选择工具栏中的快捷键（红色标记的按钮）即可Start a new live capture 。主界面上也有一个interface list（如下图红色标记1），列出了系统中安装的网卡，选择其中一个可以接收数据的的网卡也可以开始抓包。

wireshark怎么抓包分析网络故障实战你可以在 wireshark 软件中设置各种过滤规则，（filter）来捕获各种有用的数据包。然后保存到一个文件中，最后对那个文件中的内容进行数据包分析。

【求教】网络故障， wireshark抓包该如何设置？一般性能测试不通过wireshark吧？wireshark只是一个捕获网络包的工具，连重放都不一定支持。一般做性能测试的话，都是自己按照通讯协议生成流量的。wireshark一般只用于诊断之类的。

如何用抓包工具wireshark对交换机其中一端口进行抓包分析可以用PC直连交换机那个口等方法1、PC直连交换机那个口2、将该口镜像到交换机别的口，再PC连接3、使用集线器4、Wireshark（前称Ethereal）是一个网络封包分析软件。5、网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。6、Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。7、网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作，只是将场景移植到网络上，并将电线替换成网络线。8、在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。9、Ethereal的出现改变了这一切，在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。10、Ethereal是全世界最广泛的网络封包分析软件之一。11、网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark来检查资讯安全相关问题12、开发者使用Wireshark来为新的通讯协定除错，普通使用者使用Wireshark来学习网络协定的相关知识。
怎么用wireshark抓包具体ipWireshark是一个抓取网络数据包的工具，这对分析网络问题是很重要的，下文将会简单的介绍下如何使用Wireshark来抓包。1、在如下链接下载“Wireshark”并在电脑上安装。2、如果之前没有安装过“Winpcap”请在下面把安装“Winpcap”的勾选上。3、打开安装好的Wireshark程序，会看到如下图所示界面：主界面，打开“Capture”－＞“Options”在最上面的Interface中选择电脑真实的网卡（默认下可能会选中回环网卡），选中网卡后，下面会显示网卡的IP地址，如图中是172.31.30.41 ，如果IP正确，说明网卡已经正确选择。Capture Filter这一栏是抓包过滤，一般情况下可以不理会，留为空。Display options就按照我们勾选的来做就行。好，点击Start 。选择好保存路径和文件名（请不要中文）后，点击保存。
wireshark 抓包数据分析？ARP攻击？行为特征：地址连续
猜测：192.168.10.1正在进行地址扫描。
作为路由器自身是不需要做地址扫描的，这里有两种可能。
一：来自外部网络，正在对内网的IP进行扫描，这要看路由器采用的什么转换机制。进行解决
二：内网中有机器伪装成路由器08:10:17:23:28:14 - 192.168.10.1在进行扫描。如果上网可以通，只是速度慢，应该不可能这个对应关系都被伪装了。确认一下这个MAC - IP 对应关系可查出伪装主机。

另，网速慢跟这个关系不大， ARP包本身不大，也不需要占用路由器资源，除非扫描太过频繁。否则应查找其他原因。

wireshark所抓包的分析问IP包格式 IP协议网络层协议.主要完数据包发送作用. 面表IP4数据包格式,IP封包格式(IPv4包首部度20字节)
|0......4........8..............16....................................32
-------------------------------------------------------------------------
|版本4.|首部度|服务类型(优先级|数据包总............................|
-------------------------------------------------------------------------
|标识...........................|RF|DF|MF|碎片偏移.....................|
-------------------------------------------------------------------------
|存间TTL....|协议(TCP/UDP)..|首部较验............................|
-------------------------------------------------------------------------
|源IP址..............................................................|
-------------------------------------------------------------------------
|目IP址............................................................|
-------------------------------------------------------------------------
|选项..................................................................|
=========================================================================
|数据..................................................................|
-------------------------------------------------------------------------Version (4) Internet Header Length (4) Type of Service (8) Total Length (16)
Identification (16) Flags (3) Fragment Offset (13)
Time To Live (8) Protocol (8) Header checksum (16)
Source Address (32)
Destination Address (32)
Options (Variable) Padding (0-24)

Data
....
IP包字段含义
IP包字段含义

图括号内数字各部件度(bit)您够细计算每列总度都32bit面我别各部件名称解释

Version
版本(VER)表示IP规格版本目前IP规格版本4(version 4)所数值通 0x4 (注意封包使用数字通都十六进位)

Internet Header Length（值5表示包度5行即532位5行=5*32bit=20*8bit=20byte=0x14byte）
标度(IHL)IP封包规格看前面6行headerOptionsPadding没5行所度5我知道每行32bit4byte麽5行20byte20数值换16进制0x14所封包标度短候数值终换算0x14

让我看看我撷取ICMP封包其属於IP部份

我看数值45前面4版本号数後面5则标度

Type of Service
服务类型(TOS)指IP封包传送程要求服务类型其共由8bit组其每bit组合别代表同意思

000..... Routine 设定IP顺序预设0否则数值越高越优先
...0.... Delay 延迟要求0值1低要求
....0... Throughput 通讯量要求0值1高要求
.....0.. Reliability 靠性要求0值1高要求
......00 Not Used 未使用

例我看TOS值0全部设置值

Total Length
封包总(TL)通byte做单位表示该封包总度数值包括标数据总

图我看十六进位数值003C换十进位60

Identification
识别码(ID)每IP封包都16bit唯识别码我OSI网路层级知识面知道程序产数据要通网络传送都拆散封包形式发送封包要进行重组候ID依据

图我看封包ID40973 ( a00d 换十进制知道)

Flag
标记(FL)封包传输程进行佳组合使用3bit识别记号请参考表

000. Reserved Fragment 值0候表示目前未使用
.0.. Don't Fragment 值0候表示封包割1则能割
..0. More Fragment 值0：值0示该封包後封包1则表示其後割封包

例我看封包标记0目前并未使用

Fragment Offset
割定位(FO)封包切後由於网路情况或其素影响其抵达顺序并初切割顺序至所封包进行切割候各片段做定位记录所重组候能够依号入座

我刚才撷取封包并没切割所暂找例参考例我看FO0

Time To Live
延续间(TTL)TTL我许网路设定都碰物件赋予TTL值(秒单位)後进行计物件达TTL值候没处理遗弃并所 TTL 都间单位例 ICMP 协定 TTL则封包路由程跳站数目(Hop Count)做单位TTL 值每经跳站(或 router 处理)後减低数值封包传递程由於某些原未能抵达目候避免其直充斥网路面

图我看数值 20 哦十六进位数字要换十进位才知道 TTL 原 32 跳站

Protocol
协定(PROT)指该封包所使用网路协定类型例ICMPDNS等要注意使用协定网路层协定层程式协定(FTPPOP等)同您Linux/etc/protocol档案找些协定其代号档案存放於NT\winnt\system32\drivers\etc目录面其内容
------------------------------------------------------
ip0IP# internet protocol, pseudo protocol number
icmp1ICMP# internet control message protocol
igmp2IGMP# Internet Group Management
ggp3GGP# gateway-gateway protocol
ipencap 4IP-ENCAP# IP encapsulated in IP (officially ``IP'')
st5ST# ST datagram mode
tcp6TCP# transmission control protocol
egp8EGP# exterior gateway protocol
pup12PUP# PARC universal packet protocol
udp17UDP# user datagram protocol
hmp20HMP# host monitoring protocol
xns-idp 22XNS-IDP# Xerox NS IDP
rdp27RDP# "reliable datagram" protocol
iso-tp4 29ISO-TP4# ISO Transport Protocol class 4
xtp36XTP# Xpress Tranfer Protocol
ddp37DDP# Datagram Delivery Protocol
idpr-cmtp39IDPR-CMTP# IDPR Control Message Transport
rspf73RSPF#Radio Shortest Path First.
vmtp81VMTP# Versatile Message Transport
ospf89OSPFIGP# Open Shortest Path First IGP
ipip94IPIP# Yet Another IP encapsulation
encap98ENCAP# Yet Another IP encapsulation
------------------------------------------------------

我例看PROT号码01照/etc/protocol档案我知道ICMP协定

Header Checksum
标检验值(HC)数值主要用检错用用确保封包确误接收封包始进行传送後接收端主机利用检验值检验馀封包切看误发确认信息表示接收

图我看封包HC9049

Source IP Address
源址(SA)相信用解释发送端IP址

我c0.a8.00.0f换十进位192.168.0.15址

Destination IP Address
目址(DA)接收端IP址啦

看看能能a8.5f.01.54换168.95.1.84

Options & Padding
两选项甚少使用某些特殊封包需要特定控制才利用作细表啦

面我看看IP结构定义

struct ip
{
#if __BYTE_ORDER == __LITTLE_ENDIAN
unsigned int ip_hl:4; /* header length */
unsigned int ip_v:4; /* version */
#endif
#if __BYTE_ORDER == __BIG_ENDIAN
unsigned int ip_v:4; /* version */
unsigned int ip_hl:4; /* header length */
#endif
u_int8_t ip_tos; /* type of service */
u_short ip_len; /* total length */
u_short ip_id; /* identification */
u_short ip_off; /* fragment offset field */
#define IP_RF 0x8000 /* Reserved Fragment flag */
#define IP_DF 0x4000 /* Don't Fragment flag即第二位1(包) */
#define IP_MF 0x2000 /* More Fragments flag即二三位00(包,包)或01(继包) */
#define IP_OFFMASK 0x1fff /* mask for fragmenting bits */
u_int8_t ip_ttl; /* time to live */
u_int8_t ip_p; /* protocol */
u_short ip_sum; /* checksum */
struct in_addr ip_src, ip_dst; /* source and dest address */
};

ip_v IP协议版本号,4,现IPV6已经

ip_hl IP包首部度,值4字节单位.IP协议首部固定度20字节,IP包没选项,值5.

ip_tos服务类型,说明提供优先权.

ip_len说明IP数据度.字节单位.

ip_id标识IP数据包.

ip_off碎片偏移,面ID起用重组碎片.

ip_ttl存间.没经路由候减,直0抛弃.

ip_p协议,表示创建IP数据包高层协议.TCP,UDP协议.

ip_sum首部校验,提供首部数据校验.

ip_src,ip_dst发送者接收者IP址

如何查看wireshark抓取TCP三次握手后的连接状态图？可以试试基于进程抓包的QPA软件分析，详情http://jingyan.baidu.com/article/c33e3f48aefa58ea15cbb58d.html

怎样用wireshark抓包，三次握手三次挥手(1)TCPClient向TCPServer发送连接请求SYN(2)TCPServer收到连接请求后反馈SYN+ACK(3)TCPClient收到SYN+ACK后反馈ACK，三次握手完成，连接建立(4)TCPClient向TCPServer发送100字节的数据(5)TCPServer收到(4)后确认并发送78字节的数据，即捎带确认(6)TCPClient收到(5)后，发送ACK进行确认(7)TCPClient发送100字节的数据(8)TCPClient发送RST报文，终止连接

wireshark抓包三次握手怎么判断有问题finack指的是数据已经传完了，可以断开连接，如果你仔细观察的话，可以看到最后有两个finack的。pshack都是tcp的头部字段，psh指的是不用在等待其他包了，自己就可以单独发送，所以带有pshack的是数据发送的包，传的应该就是你要的数据，当然到底是不是要看源和目的的ip对不对。

用wireshark在电脑上抓的TCP的三次握手的包1）sourcedestination就是ip地址。发SYN的是客户端，客户端一般发起主动连接。
2）菜单项里面有个follow tcp什么的选项，自己看一下就好了。再结合wiki上提到的三次握手。

java怎么解析Wireshark抓包文件1. 调用 tshark, text2pcap 进行 system() 操作，并将结果发到流中，总体来说，在jvm调用shell 是效率比较低的
2. 使用GitHub - kaitoy/pcap4j: A Java library for capturing, crafting, and sending packets. 它完全脱离wireshark了，只是说libpcap的包装，支持的协议不是很全

wireshark抓到的包怎么解析【wireshark抓包分析】启动wireshark后，选择工具栏中的快捷键（红色标记的按钮）即可Start a new live capture 。主界面上也有一个interface list（如下图红色标记1），列出了系统中安装的网卡，选择其中一个可以接收数据的的网卡也可以开始抓包。在启动时候也许会遇到这样的问题：弹出一个对话框说 NPF driver 没有启动，无法抓包。在win7或Vista下找到C: \system\system32下的cmd.exe 以管理员身份运行，然后输入 net start npf ，启动NPf服务。重新启动wireshark就可以抓包了。抓包之前也可以做一些设置，如上红色图标记2，点击后进入设置对话框，具体设置如下： Interface：指定在哪个接口（网卡）上抓包（系统会自动选择一块网卡）。Limit each packet：限制每个包的大?。笔∏榭霾幌拗?。Capture packets in promiscuous mode：是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。Filter：过滤器。只抓取满足过滤规则的包。File：可输入文件名称将抓到的包写到指定的文件中。Use ring buffer：是否使用循环缓冲。缺省情况下不使用，即一直抓包。循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。Update list of packets in real time：如果复选框被选中，可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。单击逗OK地按钮开始抓包，系统显示出接收的不同数据包的统计信息，单击逗Stop地按钮停止抓包后，所抓包的分析结果显示在面板中，如下图所示：为了使抓取的包更有针对性，在抓包之前，开启了的视频聊天，因为视频所使用的是UDP协议，所以抓取的包大部分是采用UDP协议的包。3、对抓包结果的说明 wireshark的抓包结果整个窗口被分成三部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。使用wireshark可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等。上图的数据包列表中，第一列是编号（如第1个包），第二列是截取时间（0.000000），第三列source是源地址（115.155.39.93），第四列destination是目的地址（115.155.39.112），第五列protocol是这个包使用的协议（这里是UDP协议），第六列info是一些其它的信息，包括源端口号和目的端口号（源端口：58459，目的端口：54062）。中间的是协议树，如下图：通过此协议树可以得到被截获数据包的更多信息，如主机的MAC地址（Ethernet II）、IP地址（Internet protocol）、UDP端口号（user datagram protocol）以及UDP协议的具体内容（data）。最下面是以十六进制显示的数据包的具体内容，如图：这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便的对各种协议的数据包进行分析。4、验证网络字节序网络上的数据流是字节流，对于一个多字节数值（比如十进制1014 = 0x03 f6），在进行网络传输的时候，先传递哪个字节，即先传递高位逗03地还是先传递低位逗f6地。也就是说，当接收端收到第一个字节的时候，它是将这个字节作为高位还是低位来处理。下面通过截图具体说明：最下面是物理媒体上传输的字节流的最终形式，都是16进制表示，发送时按顺序先发送00 23 54 c3 …00 03 f6 …接收时也按此顺序接收字节。选中total length：1014 ，它的十六进制表示是0x03f6，从下面的蓝色选中区域可以看到，03在前面，f6在后面，即高字节数据在低地址，低字节数据在高地址（图中地址从上到下从左到右依次递增），所以可知，网络字节序采用的是大端模式。

我用wireshark抓了一个包，不知道怎么看以太网帧头：目的mac+源mac+报文类型。对应ip包而言，报文类型是0800 ，所以0800是以太网帧头的结尾部分
IP报文头：大部分都是以4500开头的，4表示ipv4版本，5表示IP头长度是5个LW（20bytes）， 00是用来表示报文优先级的。可以通过找4500来确定ip头的起始位置
http协议报文的每一行要以回车和换行结束，回车和换行缓存ASCII码就是0d0a，所以可以通过0d0a来判断这是一行http内容的结尾。
楼主贴出的报文内容已0d0a结尾，应该是属于http内容。
要想查看以太网帧头和ip头的话，应该去更前面的报文内容中找

如何使用WireShark抓取数据包一、怎样获取WireShark？很简单，百度搜索WireShark，就会看到下载地址。二、使用WireShark 因为WireShark是英文软件，所以你需要一些必要的英文基础。打开软件界面1、开始抓包选中你需要的网卡，点击start即可开始抓包，在这个时候请确保你想要抓的包会通过你选择的网卡。一般做法是在电脑上插一块无线网卡，然后让你的设备连接该无线网卡你会发现流过网卡的数据包非常多。这时候你需要用到最顶上的过滤选项。过滤语法不算复杂，但是一时半会也记不完，记住常用的即可。(1)过滤源ip、目的ip 。在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包， ip.dst==192.168.101.8；查找源地址为ip.src=https://www.zaoxu.com/jjsh/bkdq/=1.1.1.1； (2)端口过滤。如过滤80端口，在Filter中输入，tcp.port==80，这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的，tcp.srcport==80只过滤源端口为80的包； (3)协议过滤。直接在Filter框中直接输入协议名即可，如过滤HTTP的协议； (4)http模式过滤。如过滤get包，http.request.method==”GET”,过滤post包，http.request.method==”POST”；其他协议的数据包大都也是这样。(5)连接符and/or的使用。连接符and的使用。过滤两种条件时，使用and连接，如过滤ip为192.168.101.8并且为http协议的，ip.src==192.168.101.8 and http 。我想作为一个程序员or就不需要我举例了吧。2、提取数据你已经找到你想要的包了如果你想看到你POST的结果，一般来说都在你请求下面的一个HTTP/1.1 200 ok 的数据包。包结构跟POST去的差不多。如果服务器响应缓慢，你只需要选中POST数据包右键点击Follow TCP Stream，即可快速筛选本次同信的所有数据包。如果是JSON或文本的话拷贝可打印文字就可以咯。如果是二进制通讯，拷贝HEX即可。3、查看JSON数据可能大家习惯于用网页上的在线解析。

wireshark分析arp攻击买台专业测试仪，比如IXIA或者斯伯伦的Test Center测测。
或者买台防火墙，然后看log 。

在本机用wireshark在公司局域网内抓包，出现大量ARP数据包如图，这是arp攻击吗？基本上可以理解为ARP，主要是中毒，你找找 08-10-17-b6-63-a2是哪台电脑，杀毒先。

在wireshark抓包中，什么样子的包才能算是ARP病毒在没有ARP请求（Query）的情况下，不断的给其他IP发送ARP返回包（Reply）。就是典型的ARP欺骗。
另外，ARP欺骗严重的情况下会导致网络瘫痪的。
建议采取如下方案：
1. 在DOS窗口中输入arp -a 。检查各IP对应的mac地址，如果发现mac地址有重复，就可能存在ARP欺骗。
2. 安装ARP防火墙，有arp攻击时一般可以提示攻击来源。
3. 安装WFilter里面的“网络健康度检测插件”，可以检测出ARP攻击的IP地址、MAC地址和MAC厂商信息。

如何用wireshark分析arp包结构点击WIRESHARK图标，打开WIRESHARK程序

在菜单栏找到【抓包】选项

点击【抓包】，展开详细选项，点选第一个【网络接口...】

在新的窗口中点击【开始】选项，开始抓包，

程序开始抓包，效果如图

从抓包中找到ARP的条目，双击那个条目

7
这就是我们所要抓包的内容了，之后进行分析处理。

在本机用wireshark在公司局域网内抓包，出现大量ARP数据包如图，能帮我找到是哪台机器中毒了吗这是是 ARP广播包，简单点说就是，你要访问192.168.1.156这个地址，但是你的电脑并没有他的MAC所以会发送一个ARP广播请求包，

如果1.156接收到这个请求，会发送应答并携带自己的MAC地址，你的电脑就会保存这个MAC地址，然后就可以进行局域网通信的，，，，（广域网是ROUTER 应答这个不在介绍范围内）

出现这种问题的原因：

1. 1.156 跟你不在一个网段，比如你是172.16.1.45掩码255.255.255.0

2. 掩码不同，192.168.1.156是掩码255.255.0.0，而你自己是255.255.255.0

3. IP（网络位）掩码段相同，但是没插网线，，，，，不要笑，这种白痴很多很多。。。

4. 协议栈错误，，这是传说中的存在

5. ARP病毒， IPV4的噩梦，，，低级下流的病毒...

希望可以帮到你