wireshark使用指导
1.安装wireshark,直接默认安装即可,或只改变安装目录。建议安装wireshark版本1.x,相比较2.x和3.x而言,1.x版本包含decode as选项,可以更方便根据协议类型过滤消息(如下举例部分均使用1.10.7)
2.安装完成之后打开wireshark,工具操作界面如下
3.Capture->Interfaces..,勾选使用的网卡(针对多网卡系统而言,选择对应的网卡可以减少抓取到的包分析时间)
4.在Filter框中可以过滤消息类型,如按照IP进行过滤:ip.addr == xxx.xxx.xxx.xxx
5.在Analyze中可以过滤显示的消息类型,如根据IP过滤如下(可以选择新建一个过滤条件或者修改原有的过滤条件,讲IP地址修改为需要过滤的IP地址即可)
6.打开wireshark抓包,然后建立连接,就可以获取到本地与目标之间的交互消息,选中一条交互消息,右键单击选择“Decode as…”->Transport,选择对应的协议类型,即可根据协议类型进行过滤
7.文件保存。直接保存默认保存左右抓取到的包,如只需要保存过滤后的消息,选择File->Export Specified Packets…->Displayed,填入保存文件名称,文件位置,存档类型(Captured为保存所有抓取到的包)
