Wireshark 允许您使用各种工具分析网络内部的流量。如果您想查看网络内部发生的情况,或者遇到网络流量或页面加载问题,可以使用 Wireshark。它允许您捕获流量,以便您了解问题所在或将其发送给支持以获得进一步的帮助。继续阅读本文,您将了解如何在 Wireshark 中捕获 http 流量。
安装 Wireshark
安装 Wireshark 是一个简单的过程。它是跨不同平台的免费工具,您可以通过以下方式下载和安装它:
Windows 和 Mac 用户
- 打开浏览器。
- 访问 //www.wireshark.org/download.html。
- 选择适合您设备的版本。
- Wireshark 将下载到您的设备。
- 按照包中的说明安装它。
Linux 用户
如果您是 Linux 用户,您可以在 Ubuntu 软件中心找到 Wireshark。从那里下载并根据包中的说明进行安装。
在 Wireshark 中捕获 HTTP 流量
现在您已经在计算机上安装了 Wireshark,我们可以继续捕获 http 流量。以下是执行此操作的步骤:
- 打开您的浏览器 - 您可以使用任何浏览器。
- 清除缓存 - 在捕获流量之前,您需要清除浏览器的缓存。如果您转到浏览器的设置,则可以执行此操作。
- 打开 Wireshark。
- 点按“拍摄”。
- 点按“接口”。您现在将在屏幕上看到一个弹出窗口。
- 选择界面。您可能想分析通过以太网驱动程序的流量。
- 选择界面后,点击“开始”或点击“Ctrl + E”。
- 现在返回到您的浏览器并访问您要从中捕获流量的 URL。
- 完成后,停止捕获流量。返回 Wireshark 并点击“Ctrl + E”。
- 保存捕获的流量。如果您遇到网络问题并希望将捕获的流量发送给支持,请将其保存为 *.pcap 格式文件。
在 Wireshark 中捕获数据包
除了捕获 http 流量之外,您还可以在 Wireshark 中捕获您需要的任何网络数据。以下是您可以如何执行此操作:
- 打开 Wireshark。
- 您将看到可以检查的可用网络连接列表。选择您感兴趣的一个。如果需要,您可以通过按“Shift + 左键单击”一次分析多个网络连接。
- 现在您可以开始捕获数据包了。您可以通过多种方式执行此操作:第一种方法是点击左上角的鱼翅图标。第二个是点击“捕获”,然后点击“开始”。第三种开始捕获的方法是点击“Ctrl + E”。
在抓包过程中,Wireshark 会实时显示所有抓到的数据包。完成数据包捕获后,您可以使用相同的按钮/快捷方式停止捕获。
Wireshark 过滤器
Wireshark 成为当今最著名的协议分析器之一的原因之一是它能够将各种过滤器应用于捕获的数据包。 Wireshark 过滤器可以分为捕获过滤器和显示过滤器。
捕获过滤器
在捕获数据之前应用这些过滤器。如果 Wireshark 捕获与过滤器不匹配的数据,它不会保存它们,您也不会看到它们。因此,如果您知道要查找的内容,则可以使用捕获过滤器来缩小搜索范围。
以下是您可以使用的一些最常用的捕获过滤器:
- 主机 192.168.1.2 – 捕获与 192.168.1.2 相关的所有流量。
- 端口 443 – 捕获与端口 443 相关的所有流量。
- 端口不是 53 – 捕获除与端口 53 关联的流量之外的所有流量。
显示过滤器
根据您正在分析的内容,您捕获的数据包可能很难通过。如果您知道要查找的内容,或者想要缩小搜索范围并排除不需要的数据,则可以使用显示过滤器。
以下是您可以使用的一些显示过滤器:
- http – 如果您捕获了许多不同的数据包,但只想查看基于 http 的流量,则可以应用此显示过滤器,Wireshark 将仅显示这些数据包。
- http.response.code == 404 – 如果您在加载某些网页时遇到问题,此过滤器可能很有用。如果您应用它,Wireshark 将只显示“404:找不到页面”作为响应的数据包。
注意捕获过滤器和显示过滤器之间的区别很重要。如您所见,您在捕获数据包之前应用捕获过滤器,并在捕获数据包后显示过滤器。使用捕获过滤器,您可以丢弃所有不适合过滤器的数据包。使用显示过滤器,您不会丢弃任何数据包。您只需将它们从 Wireshark 的列表中隐藏即可。
其他 Wireshark 功能
虽然捕获和过滤数据包是 Wireshark 出名的原因,但它也提供了不同的选项,可以使您的过滤和故障排除更容易,特别是如果您是新手。
着色选项
您可以根据不同的显示过滤器对数据包列表中的数据包进行着色。这允许您强调要分析的数据包。
有两种类型的着色规则:临时和永久。临时规则仅在您关闭程序之前应用,而永久规则将被保存,直到您将其更改回来。
您可以在此处下载示例着色规则,也可以创建自己的着色规则。
混杂模式
Wireshark 捕获进出它运行的设备的流量。通过启用混杂模式,您可以捕获 LAN 上的大部分流量。
命令行
如果您在没有 GUI(图形用户界面)的情况下运行系统,则可以使用 Wireshark 的命令行界面。您可以捕获数据包并在 GUI 上查看它们。
统计数据
Wireshark 提供了一个“统计”菜单,您可以使用它来分析捕获的数据包。例如,您可以查看文件属性、分析两个 IP 地址之间的流量等。
常见问题
如何读取 WireShark 中捕获的数据?
完成数据包捕获后,Wireshark 将在数据包列表窗格中显示所有数据包。如果您想专注于特定的捕获,请双击它,您可以阅读有关它的更多信息。
您可以决定在单独的窗口中打开特定的捕获以便于分析:
1. 选择您要读取的数据包。
2. 右键单击它。
3. 点击“查看”。
4. 点击“在新窗口中显示数据包”。
以下是数据包列表窗格中的一些详细信息,可帮助您阅读捕获:
1. No. – 捕获的数据包的编号。
2. 时间 - 这显示您何时开始捕获数据包。您可以在“设置”菜单中自定义和调整值。
3. 来源——这是以地址形式捕获的数据包的来源。
4. 目的地——捕获数据包的目的地地址。
5. 协议——捕获的数据包的类型。
6. 长度 - 这会显示捕获的数据包的长度。这以字节表示。
7. 信息——关于捕获的数据包的附加信息。您在此处看到的信息类型取决于捕获的数据包的类型。
可以使用显示过滤器缩小上述所有列的范围。根据您感兴趣的内容,您可以通过应用不同的过滤器更轻松、更快速地解释 Wireshark 捕获。
在鱼的世界里,做一个 Wireshark
现在您已经学习了如何在 Wireshark 中捕获 http 流量以及有关该程序的有用信息。如果您想检查网络、解决问题或确保一切正常,Wireshark 是您的正确工具。它易于使用和解释,而且是免费的。
你以前用过Wireshark吗?在下面的评论部分告诉我们。