Wireshark使用方法

Wireshark使用方法

Wireshark是目前使用最为广泛的开源抓包软件，Wireshark的核心功能是捕捉网络数据包，并尽可能地显示出数据包中的详细信息，底层需要Winpcap的支持。其基本工作原理是：当计算机上的网卡收到数据帧时，会查看数据帧的目的MAC和本网卡的MAC地址是否相同。如果不同就丢弃帧，如果相同就接收帧并交给上一层处理。对于广播帧或者组播帧，网卡也会接收下来，但在正常情况下，这些帧会被丢弃。当计算机上启动Wireshark后，网卡会被置为混杂模式，这时只要数据帧能达到网卡，不论帧的目的MAC和本网卡的MAC地址是否相同，网卡将全部接收并交给Wireshark处理。

初识Wireshark，是一款跨平台的功能强大的抓包和分析包软件。

根据自己的系统和版本下载对应的Wireshark

抓包之前选择需要抓的网卡

对数据包进行分析

linux平台检查是否安装了tcpdump包

linux下的抓包命令

/usr/sbin/tcpdump -i eth1 -s 0 -w package0115.cap

/usr/sbin/tcpdump -i eth0 -s 0 -w package0114.cap