2.3.2　Wireshark安装和配置

1.Wireshark安装

在安装Wireshark之前，需要先安装WinPcap，在Windows下安装Wireshark时，Wireshark安装包中包含WinPcap，所以不需要单独下载安装它。如果不选择安装WinPcap，将无法捕捉网络流量，但是可以打开保存的捕捉包文件。在安装Wireshark的过程中，会有几个组件供挑选安装，下面分别介绍。

TShark是一个命令行的网络分析工具。

插件/扩展（Wireshark，TShark分析引擎）：

·Dissector Plugins-分析插件，带有扩展分析的插件；

·Tree Statistics Plugins-树状统计插件，统计工具扩展；

·Mate-Meta Analysis and Tracing Engine（experimental），可配置的显示过滤引擎；·SNMP MIBs、SNMP、MIBS的详细分析。

Tools/工具，处理捕捉文件的附加命令行工具：

·User’s Guide，本地安装的用户手册，如果不安装用户手册，帮助菜单的大部分按钮的结果可能是访问Internet；

·Editcap，是一个读取捕捉文件的程序，还可以将一个捕捉文件里的部分或所有信息写入另一个捕捉文件；

·Text2Pcap，是一个读取ASCII hex，写入数据到libpcap格式文件的程序；

·Mergecap，是一个可以将多个播捉文件合并为一个的程序；

·Capinfos，是一个显示捕捉文件信息的程序。

2.Wireshark配置和使用

Wireshark打开后主界面如图2-9所示，其主界面由如下部分组成：

图2-9　Wireshark主界面示意图

·主界面的最上方为菜单栏，菜单栏中包含了对Wireshark的各种操作。

·菜单栏的下方是主工具栏，该工具栏提供快速访问菜单中经常用到项目的功能。

·Filter toolbar/过滤工具栏，提供显示过滤功能，此处的包过滤为显示过滤，即将抓取到的数据包中满足过滤条件的显示出来。

·Packet list面板，显示抓取到的每个包的摘要信息，单击面板中的单独条目，包的详细信息将会显示在下面的两个面板中。

·Packet detail面板，显示在Packet list面板中所选包的详细信息，并按照包中数据所属的协议，将其以协议格式展示出来，便于对数据进行分析。

·Packet bytes面板，以十六进制的方式显示在Packet list面板中所选包的内容，并且高亮显示在Packet detail面板中选中的协议中的字段。

·状态栏，显示当前程序状态以及捕捉数据的更多信息。

通过对Wireshark中进行简单的配置就可以开始进行抓包，下面对一些主要配置进行说明：

菜单“Capture”→“Options”，弹出Capture Options面板，其中的选项如下。

·Interface：指定在哪个接口（网卡）上抓包。其中可能会包含有线网卡、无线网卡和一些虚拟网卡，需要在哪个网卡上抓取数据包，就选中该网卡；通常选择有线或者无线物理网卡来抓取数据包；

·Limit each packet，限制每个包的大小，默认情况不限制；

·Capture packets in promiscuous mode，是否打开混杂模式，如果打开，抓取所有的数据包，一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项；

·Capture Filter：过滤器，在其中可以书写过滤规则，Wireshark只抓取满足过滤规则的包；

·Capture File：如果需要将抓到的包写到文件中，在这里输入文件名称。

Display options中需要注意下面的项：

·Update list of packets in real time，用来实时更新显示的列表；

·Automatic scrolling in live capture，用来让滚动条自动下滚，始终保持显示最新抓到的包；

·Hide capture info dialog，隐藏抓包信息对话框。

这三个选项默认是选中的，按照默认配置即可。

其他的选项也按照默认配置，单击“start”按钮，就可以开始抓取数据包了。