Wireshark入門與進階系列(一)

“君子生非異也，善假於物也”---荀子

       你在百度上輸入關鍵字“Wireshark、使用、教程”，可以找到一大堆相關的資料。那麼問題來了，

為什麼我還要寫這個系列的文章？

       前面你能搜到的那些資料，大部分可能存在兩個小問題：

1. 網上大部分資料引自(or譯自)Wireshark官方的使用者手冊，或使用類似於使用者手冊的寫法，它們很詳細的告訴你Wireshark有哪些視窗、選單、選項，這些視窗、選單、選項可以完成什麼功能。這對於一個已有基本的使用經驗，遇到了疑難雜症需要查詢解決的人可能是有效的；對於一個雖無使用經驗，但空閒時間很多，出於興趣想全面瞭解這個工具的人也是合適的；可是對於那些沒用用過Wireshark，不求全解，只是因為某種需求，想要快速使用Wireshark完成某個任務的小菜們，肯定是不合適的。
2. 網上大部分資料都有些年頭了，因為客觀因素制約，大部分資料對應的Wireshark版本止步於1.08.x。而當前Wireshark的測試版已經更新到1.99.0，穩定版也已經更新到1.12.1（連我這種習慣慢半拍的人使用的都已經是1.10.0……）資料已經有了一丟丟的滯後性。

       That's why I write these articles. 基於第一點，本系列文章除非是專門做視窗功能介紹，否則一律採用“問題/需求-->流程/步驟-->附註/說明”的形式書寫；基於第二點，本系列文章文預設使用的Wireshark版本是1.10.0rc2（下圖1是該版本啟動後會首先出現的引導介面）。

一、使用Wireshark進行抓包的最基本流程

       有些時候，我們只需要用Wireshark簡單的捕獲一些資料包看看當前的網路執行情況或是本機通訊情況，對資料包的型別和內容並沒有一個預期的明確要求，這種情況下，流程很簡單：

“啟動軟體-->選定網絡卡（網路介面卡的俗稱，一般也簡稱為介面，即Interface）並開始抓包-->停止抓包-->資料包儲存”

1.1 啟動軟體

       與老版Wireshark啟動後直接進入主介面不同，1.8.x版本開始，軟體啟動後首先出現的是下圖所示的引導介面。該介面中包含了Wireshark幾大最常用功能的快捷按鈕，分為Capture、Capture Help、Files、Online四大部分。

圖1-1 新版Wireshark引導介面

1.2 選定網絡卡並開始抓包

       本篇暫時只關注實時資料包捕獲，所以我們把目光聚焦到前圖1-1左上角的“Capture”部分，如下：

圖1-2 新版Wireshark引導介面中與資料包實時捕獲相關的部分

       該部分存在三個快捷按鈕，分別是：Interface List（網絡卡詳細資訊列表）、Start（開始抓包），以及Capture Options（捕獲選項）。其中“Start”按鈕下方是一個簡要的網絡卡列表。當我們在自己的PC上使用Wireshark時，一般我們都對PC上各個網絡卡的執行情況比較清楚。比如我現在沒有插網線，使用的是室友共享出來的WiFi，那正在通訊的肯定就只有無線網絡卡。所以我要抓包，就要先點選圖1-2中“Start”按鈕下方的“無線網路連線”（若需複選，使用Ctrl鍵）【中下方黑色方框標註】，然後點選“Start”按鈕【中上方黑色橢圓框標註】，Wireshark就開始抓包了。

       有些時候我們可能不是很清楚主機上的網絡卡執行情況，這個時候就需要先點選圖1-2中的“Interface List”按鈕，彈出如下的網絡卡詳細資訊列表，

圖1-3 網絡卡詳細資訊列表

       上圖中可以直觀地看到各個網絡卡的上下行資料包計數【右上方黑色圓角方框標註】，根據這一資訊，我們可以很明顯看出當前只有“無線網路連線”在通訊，因此勾選該網絡卡前面的複選框【左上方靛青色橢圓框標註】，然後點選“Start”按鈕【中下方黑色橢圓框標註】，Wireshark也就開始抓包了。

1.3 停止抓包

       想抓的資料包抓完了，就要讓Wireshark停下來。手動停止抓包有三種基本的方式，

1. 使用Ctrl+E組合鍵
2. 選單欄【圖1-1上部標註】：依次點選"Capture"-->"Stop"【圖1-4所示】
3. 工具欄【圖1-1上部標註】：點選【第四個方形的按鈕，圖1-5中黑色橢圓框標註】

圖1-4 Capture選單

圖1-5 工具欄

1.4 資料包儲存

       完成資料包的捕獲後，可能我們並不急著馬上做分析，或者說當前能做的分析還不夠完整，需要後面來加深……如此種種，我們需要用檔案儲存這些資料包。

      儲存資料包也有三種方式，

1. 使用Ctrl+S組合鍵；
2. 選單欄：依次點選"File"-->"Save"
3. 工具欄：點選【第7個按鈕，圖1-5中黑色圓角方框標註】

       而後彈出如下的視窗，

圖1-6 Wireshark支援的資料包儲存格式

       新版Wireshark儲存資料包的時候支援很多格式【圖1-6中黑色圓角方框標註】。可以看到，預設使用的儲存型別是pcapng，這可能是一個優點很多的格式，但出於相容性的考慮，我還是建議你在存包的時候把儲存格式設定為第二個選項【圖1-6的黑色圓角方框中著色標註】。這主要是因為pcapng還是一個新玩意，支援他的軟體還不夠多。

       有時候，我們捕獲的資料包不止是自己看，還要給同伴分析，如果你的同伴使用的是1.8.x以前的Wireshark版本或者其它他更順手的工具，那麼在業界獲得廣泛支援的pcap格式一定能為你們的溝通架起快捷的大橋。

       儲存資料包時，左下角還有一個選項“Compress with gzip”【圖1-6中黑色橢圓框標註】，如果你勾選了這個選項，那麼會對儲存的檔案再進行gzip壓縮。一般儲存資料包的時候都不需要特別勾選這個選項，因為資料包少的時候根本沒壓縮的必要，資料包多的時候也完全可以儲存了檔案之後，自己再用壓縮軟體打包。

       至此，最基本的抓包流程就算是介紹完了，本文到此結束，下篇文章將會介紹Capture Options各項的含義與設定，歡迎繼續關注！