如何解析抓包的数据wireshark

如何解析抓包的数据wireshark

首先我们打开wireshark软件的主界面，在主界面上选择网卡，然后点击start。wireshark即进入抓包分析过程。在本篇我们选择以太网，进行抓包。

接下来再界面我们可以看到wireshark抓到的实时数据包。我们对数据包的各个字段进行解释。
1.No:代表数据包标号。
2.Time：在软件启动的多长时间内抓到。
3.Source：来源ip。
4.Destination: 目的ip。
5.Protocol：协议。
6.Length:数据包长度。
7.info：数据包信息。

接下来我们点击解析后的某一条数据可以查看数据包的详细信息。

在抓包过程中，我们可以点击图标启动或者停止。来启动或者停止抓取数据包。

接下来我们将简单介绍Filter处，对来源Ip以及目的Ip的过滤表达式的写法。
首先我们在Filter处填写ip.addr eq 192.168.2.101。表示获取来源ip以及目的ip都是192.168.2.101的数据包。（此处解释 eq 换成==同样的效果）

在Filter处填写：ip.src == 192.168.2.101。表示获取来源地址为192.168.2.101的数据包。

在Filter处填写:ip.dst == 119.167.140.103。表示获取目的地址为119.167.140.103的数据包。

在Filter处填写:ip.dst == 119.167.140.103 or ip.dst == 192.168.2.45。表示获取目的地址为119.167.140.103或者192.168.2.45的数据包。（此方法举例主要说明or的用法。在or前后可以跟不同的表达式。）

在Filter处填写:ip.dst == 119.167.140.103 and ip.src == 192.168.2.101。表示获取目的地址为119.167.140.103且来源地址为192.168.2.101的数据包。（此方法举例主要说明and 的用法）

首先你需要配置一个环境变量。 3.1 在windows下的配置： 怎么去到环境变量配置页面相信不需要我多说了，毕竟国内还是windows的天下。 4 在上图的位置增加一个新的叫做“sslkeylogfile”的环境变量并指定其路径到你想要保存你的会话私钥的地方。 5 3.2 在linux或者mac os x上的配置: 1 $ export sslkeylogfile=~/path/to/sslkeylog.log 当然，如果你想在你的系统每次启动的时候都指定该日记路径的话，你可以在你的linux下执行下面的动作： 1 ~/.bashrc 或者在你的mac os x上执行以下命令： 1 ~/.macosx/environment 这样我们下次启动firefox或者chrome的开发者模式的时候，tls秘钥就会自动写入到该指定文件下面了。 6 为了支持这个功能，你当前的wireshark版本必须是1.6或者更新。我们仅仅要做的就是先进入偏好设置页面： 7 展开协议选项: 8 找到ssl选项然后如下图所示打开上面设置好的会话秘钥保存文件： 9 下图就是我们通常见到的wireshark抓到tls数据包后的显示结果： 10 this is what it looks like when you switch to the “decrypted ssl data” tab. note that we can now see the request information in plain-text! success!大家可以看到wireshark下面会有一个“已解密的ssl data”的标签，点击之后你就可以如下图所示的看到已经解密的tls数据包的相信信息了：