测试进阶之（wireshark用途）

#2023.1.4

前言：wireshark抓包工具是通信类开发和测试人员必备的工具之一，它可以让你精准的知道问题在哪。

????????它长这样

一、Wireshark初步面板解析

• 从官网下载即可，或者网上有破解版本，看个人所需。双击运行之后页面如下所示

1、各项的含义及用法

Wireshark界面可以分为三部分去拆开看：

Packet List面板

• 数据包列表（Packet List面板）：显示每个数据帧的摘要。这里采用表格的形式列出了当前捕获文件中的所有数据包，其中包括了数据包序号、数据包捕获的相对时间、数据包的源地址和目标地址、数据包的协议以及在数据包中找到的概况信息等。

数据包包含编号No

时间戳time

源地址Source

目的地址Destination

协议Protocol

长度Length

数据包信息Info

注意最后一列Info列是wireshark组织的说明列并不一定是该数据包中的原始内容

Packet Details面板

• 数据包的分协议层展示（Packet Details面板）：分析数据包的详细信息。这个面板分层次地显示了一个数据包中的内容，并且可以通过展开或是收缩来显示这个数据包中所捕获的全部内容。

Frame :物理层

Ethernet:数据链路层

Internet Protocol:网络层

Transmission Control Protocol:传输层

Hypertext Transfer Protocol:应用层

Packet Bytes面板

• 数据包的源数据（Packet Bytes面板），其中左侧是十六进制表示右侧是ASCII码表示。另外在Packet Details面板中选中某层或某字段，Packet Bytes面板对应位置也会被高亮。通常在16进制转储形式中，左侧显示包数据偏移量，中间栏以16进制表示，右侧显示为对应的ASCII字符。

?

2、捕获过滤器的表达式

一条基本的表达式由过滤项、过滤关系、过滤值三项组成。

比如ip.addr == 192.168.1.1，这条表达式中ip.addr是过滤项、==是过滤关系，192.168.1.1是过滤值（整条表达示的意思是找出所有ip协议中源或目标ip、等于、192.168.1.1的数据包）

?wireshark的过滤项是“协议“+”.“+”协议字段”的模式

?过滤关系就是大于、小于、等于等几种等式关系，我们可以直接看官方给出的表。注意其中有“English”和“C-like”两个字段，这个意思是说“English”和“C-like”这两种写法在wireshark中是等价的、都是可用的。

?推广到其他协议，如eth、ip、udp、http、telnet、ftp、icmp、snmp等等其他协议都是这么个书写思路。当然wireshark出于缩减长度的原因有些字段没有使用协议规定的名称而是使用简写（比如Destination Port在wireshark中写为dstport）又出于简使用增加了一些协议中没有的字段（比如tcp协议只有源端口和目标端口字段，为了简便使用wireshark增加了tcp.port字段来同时代表这两个），但思路总的算是不变的。而且在实际使用时我们输入“协议”+“.”wireshark就会有支持的字段提示（特别是过滤表达式字段的首字母和wireshark在上边2窗口显示的字段名称首字母通常是一样的），看下名称就大概知道要用哪个字段了。wireshark支持的全部协议及协议字段可查看官方说明。

• 数据链路层：

筛选mac地址为04:f9:38:ad:13:26的数据包----eth.src == 04:f9:38:ad:13:26

筛选源mac地址为04:f9:38:ad:13:26的数据包----eth.src == 04:f9:38:ad:13:26

• 网络层：

筛选ip地址为192.168.1.1的数据包----ip.addr == 192.168.1.1

筛选192.168.1.0网段的数据---- ip contains "192.168.1"

筛选192.168.1.1和192.168.1.2之间的数据包----ip.addr == 192.168.1.1 && ip.addr == 192.168.1.2

筛选从192.168.1.1到192.168.1.2的数据包----ip.src == 192.168.1.1 && ip.dst == 192.168.1.2

• 传输层：

筛选tcp协议的数据包----tcp

筛选除tcp协议以外的数据包----!tcp

筛选端口为80的数据包----tcp.port == 80

筛选12345端口和80端口之间的数据包----tcp.port == 12345 && tcp.port == 80

筛选从12345端口到80端口的数据包----tcp.srcport == 12345 && tcp.dstport == 80

• 应用层：

特别说明----http中http.request表示请求头中的第一行（如GET index.jsp HTTP/1.1），http.response表示响应头中的第一行（如HTTP/1.1 200 OK），其他头部都用http.header_name形式。

筛选url中包含.php的http数据包----http.request.uri contains ".php"

筛选内容包含username的http数据包----http contains "username"