网页数据抓取软件(网络封包分析软件的功能介绍(Wireshark)(组图))

　　网页数据抓取软件(网络封包分析软件的功能介绍(Wireshark)(组图))

　　Wireshark 是一款出色的 Unix 和 Windows 开源网络协议分析器。Wireshark中文版可以实时检测网络通讯数据，也可以检测它抓取的网络通讯数据快照文件。Wireshark中文版可以通过图形界面浏览这些数据，可以查看网络通信数据包中每一层的详细内容。Wireshark 有很多强大的特性：包括强大的显示过滤语言（rich display filter language）和查看TCP会话重构流的能力；它还支持数百种协议和媒体类型；有一个类似 tcpdump（一个 Linux 版本）的命令行版本的网络协议分析工具叫做 tethereal。

　　

　　特色：

　　Wireshark（原名 Ethereal）是一款网络数据包分析软件。网络包分析软件的作用是捕获网络包，尽可能显示最详细的网络包数据。网络包分析软件的功能可以想象成“电工用电表测量电流、电压、电阻”的工作——只需将场景移植到网络上，用网线代替线材即可。

　　过去，网络数据包分析软件非常昂贵，或者是专门用于业务的软件。Ethereal的出现改变了这一切。在GNU GPL通用许可证的保护下，用户可以免费获得软件及其代码，并有权修改和定制源代码。Ethereal 是目前世界上最广泛的网络数据包分析软件之一

　　Wireshakr抓包接口

　　

　　注意：数据包列表区域中的不同协议用不同颜色区分。协议颜色标识位于菜单栏View --> Coloring Rules。如下

　　

　　WireShark主要分为这几个接口

　　1. Display Filter，用于设置过滤条件对包列表进行过滤。菜单路径：分析 --> 显示过滤器。

　　

　　2. Packet List Pane（数据包列表），显示捕获的数据包，每个数据包收录编号、时间戳、源地址、目的地址、协议、长度和包信息。不同协议的数据包以不同的颜色显示。

　　

　　3. Packet Details Pane（数据包详情），在数据包列表中选择指定的数据包，数据包详情中会显示该数据包的所有详细信息内容。数据包详细信息面板是最重要的，用于查看协议中的每个字段。每行的信息是

　　(1）Frame: 物理层数据帧概览

　　(2）EthernetII: 数据链路层以太网帧头信息

　　(3）Internet Protocol Version 4: Internet 层 IP 包头信息

　　（4）传输控制协议：传输层T数据段的头信息，这里是TCP

　　（5）超文本传输​​协议：应用层信息，这里是HTTP协议

　　

　　TCP包的具体内容

　　从下图可以看到wireshark捕获的TCP数据包中的各个字段。

　　

　　4. Dissector Pane（数据包字节区域）。

　　Wireshark 过滤器设置

　　初学者在使用wireshark的时候，会得到一大堆冗余数据包，这样就很难找到自己抓到的那部分数据包了。wirehar 工具带有两种类型的过滤器。学会使用这两个过滤器，会帮助我们在海量数据中快速找到自己需要的信息。

　　(1） 数据包捕获过滤器

　　捕获过滤器的菜单栏路径是Capture --> Capture Filters。用于在捕获数据包之前进行设置。

　　

　　如何使用？抓包前可以设置如下。

　　

　　ip host 60.207.246.216 and icmp 表示只捕获主机IP为60.207.246.216数据的ICMP盒。结果如下：

　　

　　(2）显示过滤器

　　显示过滤器用于在捕获数据包后通过设置过滤条件对数据包进行过滤。一般来说，抓包的条件比较宽泛。当捕获的数据包内容较大时，通过显示过滤器设置条件关注点，方便分析。同样上面的场景，所有的数据包都是通过网卡直接抓包的，抓包的时候没有设置抓包规则，如下

　　

　　ping得到的数据包列表如下

　　

　　观察上面得到的数据包列表，里面有很多无效数据。这时候可以通过设置显示过滤条件来提取和分析信息。ip.addr == 211.162.2.183 和 icmp。并过滤。

　　

　　以上介绍了抓包过滤器和显示过滤器的基本用法。在网络不复杂或者流量不大的情况下，使用display filter进行抓包的后期处理就可以满足我们的使用了。下面介绍两者之间的语法及其区别。