如何在 WireShark 中捕獲數據包？

Wireshark 是一個非常寶貴的網絡分析工具，可以將通過網絡的數據轉換為人類可讀的格式。您可以通過使用 Wireshark 捕獲數據包來解決網絡或安全問題、調試協議實現或簡單地監控流量。

仔細查看您的網絡上發生的事情，準確收集您需要的信息。以下是如何在 Wireshark 中捕獲不同類型的數據包。

如何捕獲數據包

只需單擊幾下即可在 Wireshark 中啟動捕獲過程。您所要做的就是啟動捕獲模式，數據將開始進入而無需過濾。雖然當您需要全面了解正在發生的事情時，這種未經過濾的模式非常有用，但以這種方式收集的數據量可能會很大。為了使其更易於管理，您可以使用過濾器並僅收集特定類型的數據。您將在下面找到相關說明。

現在，讓我們看看如何開始在 Wireshark 中捕獲所有數據包：

• 確保您安裝了最新版本的 Wireshark。您可以從Wireshark官方網站免費下載該程序。

• 運行程序。您將看到一個帶有已發現網絡列表的歡迎屏幕。

• 通過以下方式之一開始捕獲數據包：
  • 雙擊列表中的選定網絡。
  • 選擇一個或多個網絡接口，然後單擊工具欄中的魚翅圖標或菜單欄中的“捕獲”然後“開始”。

筆記。在開始之前，您可以設置捕獲選項（如混雜模式），方法是單擊捕獲，然後單擊選項。

只要您按下網絡接口或開始按鈕，您就會被帶到捕獲屏幕。您將看到 Wireshark 如何實時捕獲數據包。一旦您對收集的數據量感到滿意，您可以通過單擊頂部工具欄上的紅色停止按鈕來停止捕獲。現在開始分析您的數據或通過單擊菜單欄中的“文件”然後“另存為…”將其保存以備後用。

如何捕獲UDP數據包

按照上述步驟將提示程序捕獲所有數據包。雖然通過顏色編碼可以在 Wireshark 中輕鬆區分不同類型的流量，但您仍然需要篩選大量數據。如果您只是在尋找有關某些包裹的信息，您可以使用過濾器來簡化您的工作。

Wireshark 支持捕獲和顯示過濾器。使用捕獲過濾器意味著程序只捕獲您定義的數據包。顯示過濾器只是過濾已經捕獲的數據包。這兩個過濾器的工作方式不同並且使用不同的命令，因此您需要確定哪一個最適合您的需求。

如果您只想捕獲 UDP 流量，請在開始捕獲過程之前使用捕獲過濾器。

• 啟動 Wireshark。

• 在歡迎屏幕上找到捕獲過濾器面板。它位於您的網絡列表上方。

• 在“捕獲過濾器”字段中鍵入“udp”，然後按 Enter 開始捕獲 UDP 流量。如果要進一步指定過濾器，還可以在“udp”之後添加特定端口。

建議。設置捕獲過濾器的另一種方法是單擊“捕獲”，然後從菜單中單擊“選項”。過濾器面板將位於捕獲界面的底部。

Wireshark 如何捕獲 DHCP 數據包

要獨占捕獲 DHCP 數據包，您需要在捕獲過濾器中輸入適當的端口號。使用捕獲過濾器“端口 67”或“端口 68”或“端口 67 或端口 68”兩者的組合來捕獲 DHCP 數據包。

同樣，顯示過濾器可以在捕獲屏幕上過濾掉 DHCP 數據包。但是，請注意顯示過濾器使用與捕獲過濾器不同的語法。您需要在顯示過濾器行中輸入“udp.port == 68”。

如何捕獲 ping 數據包

在 Wireshark 中捕獲 ping 數據包（也稱為 Internet 控制消息協議 (ICMP) 回顯流量）的最佳方法是在捕獲模式下使用顯示過濾器。這是過程。

• 如上所述，打開 Wireshark 並啟動捕獲過程。

• 打開命令提示符並 ping 您選擇的地址。

• 返回 Wireshark 並停止捕獲過程。

• 通過在顯示過濾器行中鍵入“icmp”然後按 Enter 來創建 ping 過濾器。

您將在數據包列表中看到請求和 ping 響應。

Wireshark 如何捕獲來自特定 IP 地址的數據包

如果要將捕獲集中在特定 IP 地址上，請在開始捕獲之前輸入以下捕獲過濾器：“主機 [您要捕獲的 IP 地址]”。例如，要捕獲與 IP 地址 111.11.1.1 關聯的數據包，您需要在 Capture Filters 面板中使用過濾器“host 111.11.1.1”。

您還可以通過在開頭添加“src”作為源或“dst”作為目標而不是“host:”來指定是否要捕獲進出特定 IP 地址的流量。

• 為來自相關 IP 地址的數據包輸入“src 111.11.1.1”
• 為發送到相關 IP 地址的數據包輸入“dst 111.11.1.1”

當然，您可以組合這些過濾器來指定接下來要捕獲的流量。用“and”連接兩個過濾器，以便在您指定的兩個 IP 地址之間移動數據包。例如，“src 111.11.1.1 and dst 222.22.2.2”將僅捕獲從 111.11.1.1 發送到 222.22.2.2 的數據包。

使用顯示過濾器過濾與已捕獲數據集中特定 IP 地址關聯的數據包。對於上面的IP地址，在顯示過濾行輸入“ip.addr == 111.11.1.1”，以此類推。

經常問的問題

如何在 Wireshark 中捕獲路由器數據包？

如果您的路由器支持端口鏡像，您只能使用 Wireshark 捕獲路由器數據包。首先，您需要將流量鏡像到 LAN 端口。該過程可能因您的設備而異。

1. 進入 LAN 部分，然後進入 LAN 端口鏡像。

2. 開啟端口鏡像。

3. 設置起點和終點。

如果您可以通過這種方式鏡像您的流量，您應該能夠在 Wireshark 捕獲模式下正常捕獲路由器數據包。

為什麼我無法在 Wireshark 中捕獲數據包？

如果您的 Wireshark 未捕獲數據包，請考慮以下故障排除選項：

• 確保您沒有啟用過於具體的捕獲過濾器。

• 在“幫助”菜單中查找 Wireshark 的更新。

• 確保防火牆沒有阻止您的 Wireshark 應用程序。

如果上述因素均不適用於您，則問題很可能與您的硬件有關。

必須接管一切

使用 Wireshark 捕獲數據包只需單擊幾下。這可能是您的故障排除任務中最簡單的部分。稍後捕獲所有流量並過濾數據包，或使用捕獲過濾器僅捕獲特定類型的數據。

您是否能夠使用這些提示捕獲正確的包裹？您覺得哪個 Wireshark 捕獲過濾器最有用？請在下面的評論中告訴我們。