Wireshark图解教程（简介、抓包、过滤器） Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协 议的各种信息。与很多其他网络工具一样，Wireshark也使用pcapnetworklibrary来进行封包捕捉。可破解局域网内 QQ、邮箱、msn、账号等的密码！！ wireshark的原名是Ethereal，新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司，并 继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个新名字也就应运而 生了。 在成功运行Wireshark之后，我们就可以进入下一步，更进一步了解这个强大的工具。 下面是一张地址为192.168.1.2的计算机正在访问“openmaniak.com”网站时的截图。 1.MENUS（菜单）5.PACKETDETAILSPANE（封包详细信息） 2.SHORTCUTS（快捷方式）6.DISSECTORPANE（16进制数据） 3.DISPLAYFILTER（显示过滤器）7.MISCELLANOUS（杂项） 4.PACKETLISTPANE（封包列表) 1.MENUS（菜单） 程序上方的8个菜单项用于对Wireshark进行配置： -"File"（文件）打开或保存捕获的信息。 -"Edit"（编辑）查找或标记封包。进行全局设置。 -"View"（查看）设置Wireshark的视图。 -"Go"（转到）跳转到捕获的数据。 -"Capture"（捕获）设置捕捉过滤器并开始捕捉。 -"Analyze"（分析）设置分析选项。 -"Statistics"（统计）查看Wireshark的统计信息。 -"Help"（帮助）查看本地或者在线支持。 2.SHORTCUTS（快捷方式） 在菜单下面，是一些常用的快捷按钮。 您可以将鼠标指针移动到某个图标上以获得其功能说明。 3.DISPLAYFILTER（显示过滤器） 显示过滤器用于查找捕捉记录中的内容。 请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考Wireshark过滤器中的详细内容。 返回页面顶部 4.PACKETLISTPANE（封包列表） 封包列表中显示所有已经捕获的封包。在这里您可以看到发送或接收方的MAC/IP地址，TCP/UDP端口号，协议或者 封包的内容。 如果捕获的是一个OSIlayer2的封包，您在Source（来源）和Destination（目的地）列中看到的将是MAC地址， 当然，此时Port（端口）列将会为空。 如果捕获的是一个OSIlayer3或者更高层的封包，您在Source（来源）和Destination（目的地）列中看到的将是IP 地址。Port（端口）列仅会在这个封包属于第4或者更高层时才会显示。 您可以在这里添加/删除列或者改变各列的颜色： Editmenu->Preferences 5.PACKETDETAILSPANE（封包详细信息） 这里显示的是在封包列表中被选中项目的详细信息。 信息按照不同的OSIlayer进行了分组，您可以展开每个项目查看。下面截图中展开的是HTTP信息。 6.DISSECTORPANE（16进制数据） “解析器”在Wireshark中也被叫做“16进制数据查看面板”。这里显示的内容与“封包详细信息”中相同，只是改为以16 进制的格式表述。 在上面的例子里，我们在“封包详细信息”中选择查看TCP端口（80），其对应的16进制数据将自动显示在下面的面 板中（0050）。 7.MISCELLANOUS（杂项） 在程序的最下端，您可以获得如下信息： --正在进行捕捉的网络设备。 -捕捉是否已经开始或已经停止。 -捕捉结果的保存位置。 -已捕捉的数据量。 -已捕捉封包的数量。(P) -显示的封包数量。(D)(经过显示过滤器过滤后仍然显示的封包) -被标记的封包数量。(M) 正如您在Wireshark教程第一部分看到的一样，安装、运行Wireshark并开始分析网络是非常简单的。 使用Wireshark时最常见的问题，是当您使用默认设置时，会得到大量冗余信息，以至于很难找到自己需要的部分。 过犹不及。 这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。 -捕捉过滤器：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 -显示过滤器：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。 那么我应该使用哪一种过滤器呢？ 两种过滤器的目的是不同的。 捕捉过滤器是数据经过的第一层过滤器，它用于控