Wireshark是一个抓取网络数据包的工具，这对分析网络问题是很重要的，下文将会简单的介绍下如何使用Wireshark来抓包。 1、在如下链接下载“Wireshark”并在电脑上安装。 2、如果之前没有安装过“Winpcap”请在下面把安装“Winpcap”的勾选上。 3、打开

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark.。

材料/工具

360安全浏览器、wireshark软件

Wireshark是一个抓取网络数据包的工具，这对分析网络问题是很重要的，下文将会简单的介绍下如何使用Wireshark来抓包。1、在如下链接下载“Wireshark”并在电脑上安装。2、如果之前没有安装过“Winpcap”请在下面把安装“Winpcap”的勾选上。3、打开安

抓包方法

首先在360浏览器中搜索“wireshark官网”并点击下面的链接（如下图）

你是网络管理员吗？你是不是有过这样的经历：在某一天的早上你突然发现网络性能急剧下降，网络服务不能正常提供，服务器访问速度极慢甚至不能访问，网络交换机端口指示灯疯狂地闪烁、网络出口处的路由器已经处于满负荷的工作状态、路由器CPU已经

进入后点击下载图标（如下图）

用39系列交换机镜像抓包配置方法： 一、3900端口镜像配置 步骤一 ：[Quidway]mirroring-group 1 local 说明：创建端口镜像组 步骤二：[Quidway]mirroring-group 1 monitor-port Ethernet 1/0/22 说明：创建镜像目的端口 22 备注将电脑的网线接在

选择自己的系统下载相应的版本（如下图）

如果是Windows下可以使用科莱网络分析系统，使用技术交流版即可满足一般的需求。与Wireshark一样，也是通过抓取网络数据包来进行分析。 关键是科莱有官方论坛和教程，软件是全中文，软件也自带一些分析建议，相信你不用在这里找人给图文讲解也能

下载好后进行安装（如下图）

【WireShark概览】 1、Wireshark 是网络报文分析工具。网络报文分析工具的主要作用是尝试捕获网络报文， 并尝试显示报文尽可能详细的内容。过去的此类工具要么太贵，要么是非公开的。 直到Wireshark（Ethereal）出现以后，这种情况才得以改变。W

安装完后打开“wireshark”，选择下面抓包来源并点击“捕获”（如下图）

启动wireshark后，选择工具栏中的快捷键（红色标记的按钮）即可Start a new live capture。 主界面上也有一个interface list（如下图红色标记1），列出了系统中安装的网卡，选择其中一个可以接收数据的的网卡也可以开始抓包。 在启动时候也许会

点击“开始”进行抓包（如下图）

、电脑做wifi热点，手机连上后电脑上使用wireshark抓包 该方法手机无须root，并且适用于各种有wifi功能的手机（IOS、android等）、平板等。只要电脑的无线网卡具有无线承载功能，就可以。方法如下： 1.把电脑的网络做为热点 2.开启wifi热点后，

抓包完成后点击左上角的“停止”图标即可结束抓包（如下图）

点Main Toolbar的倒数第三个按钮。或者点View菜单的Coloring Rules（倒数第三个），可以看到对应的颜色规则。 绿色背景（黑字）的是HTTP包，灰色背景（黑字）的是TCP包。 黑色背景的比较多，黑底红字的是TCP错误包或者校验和错误的包。

数据分析

点击上面的某个包，可以查看具体内容，对应着五层协议：

-A 以ASCII码方式显示每一个数据包(不会显示数据包中链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据(nt: 即Handy for capturing web pages). -X 当分析和打印时, tcpdump 会打印每个包的头部数据, 同时会以16进制和ASCII码形式

①Frame：物理层的数据帧概况；

广播是一台主机向网络中所有主机发送数据包，广播的目的地址不同于单播单一的地址。 广播有两类：定向广播和有限广播 1、定向广播是将数据包发送到向本网络之外的特定网络所有主机，定向广播的目的地址是定向网络的广播地址，如当前网络为192.16

②Ethernet II：数据链路层以太网帧头部信息；

点Main Toolbar的倒数第三个按钮。或者点View菜单的Coloring Rules（倒数第三个），可以看到对应的颜色规则。 绿色背景（黑字）的是HTTP包，灰色背景（黑字）的是TCP包。 黑色背景的比较多，黑底红字的是TCP错误包或者校验和错误的包。

③Internet Protocol Version 4：互联网层IP包头部信息；

1. 调用 tshark, text2pcap 进行 system() 操作，并将结果发到流中，总体来说，在jvm调用shell 是效率比较低的 2. 使用 GitHub - kaitoy/pcap4j: A Java library for capturing, crafting, and sending packets. 它完全脱离wireshark了，只

④Transmission Control Protocol：传输层的数据段头部信息，此处是TCP协议；User Datagram Protocol：UDP协议；

启动wireshark后，选择工具栏中的快捷键（红色标记的按钮）即可Start a new live capture。 主界面上也有一个interface list（如下图红色标记1），列出了系统中安装的网卡，选择其中一个可以接收数据的的网卡也可以开始抓包。 在启动时候也许会

⑤Hypertext Transfer Protocol：应用层的信息，此处是HTTP协议。

随便连接wifi热点是很不安全，这里简单地用360免费wifi创建一个wifi热点，通过手机（客户端）连接，并用本机进行wireshark抓包分析客户端请求的http协议。 http协议是明文传输的，但目前大部分的网站对于用户的帐号密码也还是未经加密传输的。这

物理层Frame：点击frame左边的小图标可以查看物理层的数帧概况（如下图）

抓取报文: 下载和安装好Wireshark之后，启动Wireshark并且在接口列表中选择接口名，然后开始在此接口上抓包。例如，如果想要在无线网络上抓取流量，点击无线接口。点击Capture Options可以配置高级属性，但现在无此必要。 点击接口名称之后，就

Ethernet II：数据链路层以太网帧头部信息（如下图）

常用的抓包软件，如wireshark wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。 点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包。 WireShark 主要

Internet Protocol Version 4：互联网层IP包头部信息（如下图）

Wireshark 一般在抓包的时候无需过滤，直接在数据分析时候过滤出来你想要的数据就成了。 1.具体为Capture->Interface->(选择你的网卡)start 这时候数据界面就显示了当前网卡的所有数据和协议了。 2.下来就是找到我们想要的数据 教你一些技巧，比

Transmission Control Protocol：传输层的数据段头部信息（如下图）

抓包软件是用来看传输的数据包报文内容的，不能用来看下载速度的 看下载速度要用流量监控类软件。

Hypertext Transfer Protocol：应用层的信息（如下图）

启动wireshark，选择网卡，开始抓包 在过滤里面输入oicq 就把QQ的包都过滤出来了 按照源和目的地址的区分，可以且仅可以分析出你抓包对象的QQ号码 QQ现在使用密文发送，抓不出来聊天的内容了

扩展阅读，以下内容您可能还感兴趣。

用wireshark抓包sftp和ftp的区别

-A 以ASCII码方式显示每一个数据知包(不会显示数据包中链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据(nt: 即Handy for capturing web pages).

-X 当分析和打道印时, tcpdump 会打印每个包的头部数据, 同时会以16进制和ASCII码形式打印出每个包的数据(但不包括连接层的头部).这对于分析一些新协议的数据包很方便.

-i eth1：指内定监听的网络接口，可以使用ifconfig获取容网络配置

host 数据包的源或目的地址是指定IP或者主机名

-w 数据包保存到指定文件

使用抓包软件分析抓包，怎样看广播帧？哪些是广播帧？我有wireshark和omnipeek软件。

广播是一台主机向网络中所有百主机发送数据包，广播的目的地址不同于单播单一的地址。

广播有两类：定向广度播和有限广播

1、定向广播是将数据包发送到向本网络之外的特定网络所有主机，定向广播的目的地址是定向网络的广播地址，如当知前网络为192.168.0.0/24,要向192.168.1.0/24的网络发送定向道广播，那么定向广播的目的地址是：专192.168.1.255。可以配置路由器让其转发定向广播。

2、有限广播是将数据包发送到本地网络的所有主机，有限广播使用的目的地址是:255.255.255.255.路由器不转发此广播。

所以属看看是不是最后是255的就可以了

wireshark抓包，有的条显示底色是黑色，这是坏包的意思吗？如果是，该怎么把这些包全部过滤掉？先谢谢了

点知Main Toolbar的倒数第三个按钮。或者点View菜单的Coloring Rules（倒数第三个），可以看到对应的颜色规则。

绿色背景（黑字道）的是HTTP包，灰色背景（黑字）的是TCP包。

黑色背景的比内较多，黑底红字的是TCP错误包或者校验和错误的包容。追问谢谢，那如果我想过滤掉所有的坏包，有没有办法？

java怎么解析Wireshark抓包文件

1. 调用 tshark, text2pcap 进行 system() 操作，并将结果zhidao发到流中，总体来说，内在jvm调用shell 是效率比较低的

2. 使用 GitHub - kaitoy/pcap4j: A Java library for capturing, crafting, and sending packets. 它完全脱离wireshark了，只是说libpcap的包装，支持的协议不容是很全

如何设置wireshark抓包长度

启动wireshark后，选择工具栏中的快捷键（红色标记的按钮）即可Start a new live capture。

主界面上也有一个interface list（如下图红色标记1），列出了系统中安装的网卡，选择其中一个可以接收数据的的网卡也可以开始抓包。

在启动时候也许会遇到这样的问题：弹出一个对话框说 NPF driver 没有启动，无法抓包。在win7或Vista下找到C: \system\system32下的cmd.exe 以管理员身份运行，然后输入 net start npf，启动NPf服务。

重新启动wireshark就可以抓包了。

抓包之前也可以做一些设置，如上红色图标记2，点击后进入设置对话框，具体设置如下：

Interface：指定在哪个接口（网卡）上抓包（系统会自动选择一块网卡）。

Limit each packet：*每个包的大小，缺省情况不*。

Capture packets in promiscuous mode：是否打开混杂模式。如果打开，抓 取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。

Filter：过滤器。只抓取满足过滤规e69da5e6ba90e799bee5baa6e997aee7ad9431333361313836则的包。

File：可输入文件名称将抓到的包写到指定的文件中。

Use ring buffer： 是否使用循环缓冲。缺省情况下不使用，即一直抓包。循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。

Update list of packets in real time：如果复选框被选中，可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。

单击“OK”按钮开始抓包，系统显示出接收的不同数据包的统计信息，单击“Stop”按钮停止抓包后，所抓包的分析结果显示在面板中，如下图所示：

为了使抓取的包更有针对性，在抓包之前，开启了QQ的视频聊天，因为QQ视频所使用的是UDP协议，所以抓取的包大部分是采用UDP协议的包。

3、对抓包结果的说明

wireshark的抓包结果整个窗口被分成三部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。本回答被提问者采纳