Wireshark是网络工程师和渗透测试人员使用最广泛的一款开源抓包工具。常用来检测网络问题、攻击溯源、或者分析底层通信机制。通过本文，让你学会如何使用它！

安装与启动

Wireshark的安装很简单，支持款平台。在windows中，我们只需双击安装包进行安装。在Linux中，我们可以通过apt命令进行安装。（认准官网地址：https://www.wireshark.org/）

界面介绍

wireshark大体可分为五个区域，分别如下所示。

快捷功能栏分别对应

最常用操作

抓包与停止

选择网卡后，默认自动抓包。

我们可以选择红色的小按钮停止抓包。

保存包

点击右上角的文件，选择保存，可以保存抓包的数据。包的数据格式常见格式是pcap

调整界面大小

工具栏中的三个放大镜图标，可以调整主界面数据的大小。从左到右依次是：放大、缩小、还原默认大小。

过滤器操作

过滤器是Wireshark的核心功能，也是我们平时使用最多的一个功能。Wireshark提供了两个过滤器：抓包过滤器 和 显示过滤器。两个过滤器的过滤思路不同。

• 抓包过滤器：重点在动作，需要的包我才抓，不需要的我就不抓。
• 显示过滤器：重点在数据的展示，包已经抓了，只是不显示出来。

抓包过滤器

使用抓包过滤器时，需要先停止抓包，设置完过滤规则后，再开始抓包。停止抓包的前提下，点击工具栏的捕获按钮，点击选项。

在弹出的捕获选项界面，最下方的输入框中输入过滤语句，点击开始即可抓包。如，我们只想要tcp数据包。

显示过滤器

显示过滤器在抓包后或者抓包的过程中使用。在过滤栏输入过滤语句，修改后立即生效。

对于过滤规则，我在前面的文章中曾写过，请移步文章《WireShark从入门到放弃》

大黑阔必学技

获取提交的密码

过滤HTTP

只显示GET请求的数据的数据包

http.request.method == "GET"

只显示gost请求的数据的数据包

http.request.method == "GOST"

数据流跟踪

在某个http数据包或tcp数据包中右键选择追踪流，可以将HTTP流或TCP流汇聚或还原成数据，在弹出的框中可以看到数据内容。

根据数据包类型的不同，这里的选项也有所差异。因为我这里选择的是TCP协议。所以右键追踪流的时候,只能选择TCP流

导出某个数据包文件

选中我们要保存的数据包。之后在数据包被格式化之后的栏中找到Portable Network Graphics。取首字母的话也就是PNG。其他文件类型于此相似。都是取首字母。右键之后。点击显示分组字节。效果