通过前面的部分,我们对Wireshark界面主体内容有了大致了解。这一节主要介绍如何抓包,抓包后的界面显示(因为Wireshark打开数据包后又是另一副界面)。如何保存或导出抓取的报文等内容。
第一次抓包
现在可以开始你的第一次数据包捕获实验了。你可能会想:“当网络什么问题也没有的时候,怎么能捕获数据包呢?“
首先,网络总是有问题的。
第二,做数据包分析并不一定要等到有问题的时候再做。事实上,大多数的数据包分析员在分析没有问题的网络流量上花的时间要比解决问题的时候多。为了能高效地解决网络问题,你也同样需要得到一个基准来与之对比。举例来说,如果你想通过分析网络流量来解决关于DHCP的问题,你至少需要知道DHCP在正常工作时的数据流是什么样子的。
更广泛地讲,为了能够发现日常网络活动的异常,你必须对日常网络活动的情况有所掌握。当你的网络正常运行时,你以此作为基准,就能知道网络流量在正常情况下的样子。
OK,让我们一起动手,开始采集数据包吧。
首先打开Wireshark,双击显示有流量的网卡。如下图。
这样,就已经开始数据包捕获了,很轻松吧。
接下来,你可能看到了如下的画面。
Wireshark主窗口
Wireshark主窗口将你所捕获的数据包显示或拆分成更容易使人理解的方式的地方,也将是你花费时间最多的地方。我们使用刚刚捕获的数据包来介绍一下Wireshark的主窗口。
Wireshark主窗口的设计使用了3个面板,主窗口的3个面板相互有着联系。
如果希望在 Packet
Details(数据包细节)面板中查看一个单独的数据包的具体内容,你必须现在Packet List(数据包列表)面板中单击选中那个数据包。在你选中了数据包之后,你可以通过在Packet Details面板中选中数据包的某个字段,从而在 Packet Bytes(数据包细节)面板中查看相应字段的字节信息。
下面介绍了每个面板的内容。
Packet List(数据包列表):最上面的面板用表格显示了当前捕获文件中的所有数据包,其中包括了数据包序号、数据包被捕获的相对时间、数据包的源地址和目标地址、数据包的协议以及在数据包中找到的概况信息等列。
Packet Details(数据包细节):中间的面板分层次地显示了一个数据包中的内容,并且可以通过展开或是收缩来显示这个数据包中所捕获到的全部内容。
Packet Bytes(数据包字节):最下面的面板可能是最令人困惑的,因为它显示了一个数据包未经处理的原始样子,也就是其在网络上传输时的样子。这些原始数据看上去一点都不容易理解。
保存和导出数据包
数据包采集完成后,可以像文件一样保存,你也可以将这个保存后的文件传给朋友,他们使用Wireshark依旧能够打开。这个常见的word文档道理类似。
选择工具条中的保存捕获文件按钮,在弹出的窗口中,写上文件名和选择保存目录,这个抓包文件就被成功保存了。
