Wireshark是一款功能強大的網絡協(xié)議檢測程序。本程序功能強大完全免費，讓您借由本程序抓取運行的網站的相關資訊，包括每一封包流向及其內容、資訊可依操作系統(tǒng)語系看出，方便查看、監(jiān)控TCP session動態(tài)等等。網絡管理員可以使用它檢測網絡問題，網絡安全工程師可以使用它來檢查資訊安全相關問題，開發(fā)者使用它來為新的通訊協(xié)定除錯，普通使用者使用它來學習網絡協(xié)定的相關知識。Wireshark不是入侵偵測系統(tǒng)（Intrusion Detection System,IDS）。對于網絡上的異常流量行為，軟件不會產生警示或是任何提示。然而，仔細分析軟件擷取的封包能夠幫助使用者對于網絡行為有更清楚的了解。也不會對網絡封包產生內容的修改，它只會反映出目前流通的封包資訊。 而它本身也不會送出封包至網絡上。

【操作技巧】

　　1、菜單用于開始操作。

　　2、主工具欄提供快速訪問菜單中經常用到的項目的功能。

　　3、Fiter toolbar/過濾工具欄提供處理當前顯示過濾得方法。

　　4、Packet List面板顯示打開文件的每個包的摘要。點擊面板中的單獨條目，包的其他情況將會顯示在另外兩個面板中。

　　5、Packet detail面板顯示您在Packet list面板中選擇的包德更多詳情。

　　6、Packet bytes面板顯示您在Packet list面板選擇的包的數據，以及在Packet details面板高亮顯示的字段。

　　7、狀態(tài)欄顯示當前程序狀態(tài)以及捕捉數據的更多詳情。

【怎么抓包】

　　1、設置捕獲接口

　　2、數據包的保存

　　Wireshark完成數據包的捕獲后，可能我們并不急著馬上做分析，或者說當前能做的分析還不夠完整，需要后面來加深……如此種種，我們需要用文件保存這些數據包。保存數據包也有三種方式，

　　1、使用Ctrl+S組合鍵；

　　2、菜單欄：依次點擊"File"-->"Save"

　　3、主工具欄 的按鈕

【過濾規(guī)則及使用方法】

　　初學者使用wireshark時，將會得到大量的冗余數據包列表，以至于很難找到自己自己抓取的數據包部分。wireshar工具中自帶了兩種類型的過濾器，學會使用這兩種過濾器會幫助我們在大量的數據中迅速找到我們需要的信息。

　　1、抓包過濾器

　　捕獲過濾器的菜單欄路徑為Capture --> Capture Filters。用于在抓取數據包前設置。

　　如何使用？可以在抓取數據包前設置如下。

　　ip host 60.207.246.216 and icmp表示只捕獲主機IP為60.207.246.216的ICMP數據包。獲取結果如下：

　　2、顯示過濾器

　　顯示過濾器是用于在抓取數據包后設置過濾條件進行過濾數據包。通常是在抓取數據包時設置條件相對寬泛，抓取的數據包內容較多時使用顯示過濾器設置條件顧慮以方便分析。同樣上述場景，在捕獲時未設置捕獲規(guī)則直接通過網卡進行抓取所有數據包，如下

　　執(zhí)行ping www.huawei.com獲取的數據包列表如下；

　　觀察上述獲取的數據包列表，含有大量的無效數據。這時可以通過設置顯示器過濾條件進行提取分析信息。ip.addr == 211.162.2.183 and icmp。并進行過濾。

　　上述介紹了抓包過濾器和顯示過濾器的基本使用方法，在組網不復雜或者流量不大情況下，使用顯示器過濾器進行抓包后處理就可以滿足我們使用。