【每周分享】Wireshark抓包工具的快捷操作详解
本帖最后由 dffzh 于 2025-9-18 18:58 编辑@21小跑堂
我们有时候会使用Wireshark抓包工具来抓取一些协议数据包进行分析,以解决相关的问题。但是Wireshark捕捉到的网络数据包往往很多,那怎么样操作可以快速找到我们需要的数据包呢?本文就介绍一些Wireshark抓包工具的快捷操作。先说说Wireshark工具菜单栏上的一些快捷操作,这个里面的功能非常多,用好的话可以起到事半功倍的效果。主要功能集中在“分析”和“统计”两个菜单:我们可以设置需要抓包的协议类型,比如TCP、UDP还是HTTP等,如下图所示:
选择TCP后的显示,会在条件框里显示抓包条件:
此时,你可以将其改为udp,如下:
如果我们要指定查询的源端和目的端的ip地址,可以按如下操作:
当然,你也可以手动修改ip地址进行报文查询。我们可以查看有哪些过滤条件:
我们可以查看捕获的文件信息,包括大小,时间等:
我们可以通过不同的颜色和标注来判断出当前报文的严重等级:
我们可以查看协议分级信息:
双击一条报文后,可以查看此报文的详细信息,并且会有对应的十六进制数据显示在下面:
还有很多其他的功能,就不逐个介绍了,有兴趣的可以研究一下。此外,我们还可以通过手动设置抓包的过滤条件来执行抓包操作,即只显示满足我们设置的抓包条件的数据报文,接下来我就以抓包USB协议数据进行介绍。手动设置过滤条件的方法如下图所示:
输入框显示红色时,表示已输入的内容非法;输入框显示绿色时,表示已输入的内容正常。usb.device_address == x按设备地址过滤,其中x表示设备地址的值
usb.bus_id == x 按总线ID过滤
usb.src == x.x.x 按源地址过滤
usb.dst == “x.x.x” 按目的地址过滤,一定要加英文双引号,否则会查不到报文
usb.endpoint_address == x 按端点地址过滤,其中x表示端点地址的值
usb_endpoint_address_direction == x按报文的传输方向过滤x=0,表示过滤掉主机到设备的报文x=1,表示过滤掉报备到主机的报文
其他的过滤条件:在过滤条件输入框里输入信息时,会显示所有子成员信息供选择:
另外,可以通过运算符“&&”来组合过滤条件:比如过滤出设备地址为19,由主机到设备的报文:
抓包过滤条件非常多,包括其他协议的抓包过滤条件在内,这里就不一一介绍了,需要用到的时候可以上网查询一下,用多了就熟练了,不需要死记硬背。综上,介绍了使用Wireshark工具的一些便捷操作,可以提供抓包和分析的效率,供大家参考,希望对大家有用。
@21小跑堂 #申请原创#
页:
[1]