wireshark抓包时，自动将网卡设置为混杂模式，如果网卡没有置为混杂模式，即使接收到数据包，也会丢弃

一定要勾选将网卡置为混杂模式

 
转载于:https://blog.51cto.com/1453735/2330142

手机抓包
 
网络和Internet --> 移动热点 开启移动热点
 
 让自己的手机连接该热点，打开wireshark找到对应网卡，即可抓包；
 如果不知道是哪个网卡，也可以试着在手机上打开网页，看流量
 

 
虚拟机抓包
 
我是把虚拟机网络状态改为NAT，然后wireshark选择捕获接口wmnet8和vmnet1都可以检测到虚拟机的流量（比如像我这里以太网3就是wmnet8）。网上还有方法说桥接模式也可以抓包，我没有成功
 
 
可以选择取消混杂模式，混杂模式会抓到到所有虚拟机和物理机之间的流量
 
 
 
混杂模式（英语：promiscuous mode）是电脑网络中的术语。是指一台机器的网卡能够接收所有经过它的数据流，而不论其目的地址是否是它。
 
 

 WinXP系统下使用USB无线网卡，用Wireshark抓包时会提示错误“The capture session could not be initiated (failed to set hardware filter to promiscuous mode)”，解决这个问题只要对软件进行以下配置就行了。
 
  
 
 1、  打开菜单项“Capture”下的子菜单“Capture Options”选项；
 
 2、  找到设置面板中有一项“Capture all in promiscuous mode”选项；
 
 3、  “Capture all in promiscuous mode”选项默认是选中状态，修改该状态为未选中状态；
 
 4、  开始抓包。
 
  
 
 原理分析：
 
 1）在网络中，混杂模态允许一个网络装置窃听而且阅读抵达的每个网络包。这个运行模式有时在网络侦听服务器上运行，用来捕获及保存所有的数据包，以便分析。（比如，对于监听网络使用情况）；
 
 2）在一个以太区域网络（LAN）中，混杂模态是指被传输的每个数据小包都能被一个网络转接器接到而且阅读的操作模式。混杂模态必须被每个网络转接器支持，也必须被主机操作系统的输入/输出驱动器支持。混杂模态时常用来监督网络使用率。　　
 
 3）混杂模态是和非混杂模态相对的。当一个数据小包在非混杂模态传输时候，所有的区域网络装置“听到”数据并且判断被包含在数据小包之中的网络位址是否是他们的。如果它不是，数据小包进入下一个区域网络装置，直到到达具有正确网络位址的装置。然后那个装置接收而且读取数据；
 
 4）在WinXP下大部分无线网卡不支持混杂模式，支持混杂模式的无限网卡价格不菲。

文章出处：wireshark怎么抓包、wireshark抓包详细图文教程
 

 
 
 
 wireshark怎么抓包、wireshark抓包详细图文教程
 
 
 
 wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。
 为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。
  
 
 
 wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark.
  
 
 
 
   
  
 
   

    Wireshark(网络嗅探抓包工具) 中文版
   
 
   

      
   
 
   

    类别： 远程监控    大小：22M    语言： 中文 
   
 
  
 
  

     
  
 
 
 
 
  
 
 wireshark 开始抓包
 
 
 开始界面
 
 
 
 
 
 wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。
 
 
 点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包
 
 
 
 
 
 Wireshark 窗口介绍
 
 
 
 
 
 WireShark 主要分为这几个界面
 
 
 1. Display Filter(显示过滤器)，  用于过滤
 
 
 2. Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表
 
 
 3. Packet Details Pane(封包详细信息), 显示封包中的字段
 
 
 4. Dissector Pane(16进制数据)
 
 
 5. Miscellanous(地址栏，杂项)
 
 
  
 
 
 
 
  
 
 
 第 2 页 Wireshark 显示过滤
  
 
 
 
 
 使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。
 
 
 过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
 
 
 过滤器有两种，
 
 
 一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录
 
 
 一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。 在Capture -> Capture Filters 中设置
 
 
 保存过滤
 
 
 在Filter栏上，填好Filter的表达式后，点击Save按钮， 取个名字。比如"Filter 102",
 
 
 
 
 
 Filter栏上就多了个"Filter 102" 的按钮。
 
 
 
 
 
 过滤表达式
 用途
 http
 只查看HTTP协议的记录
 ip.src ==192.168.1.102 or ip.dst==192.168.1.102
  源地址或者目标地址是192.168.1.102
  
  
  
  
 
 
 封包列表(Packet List Pane)
 
 
 封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。 你可以看到不同的协议用了不同的颜色显示。
 
 
 你也可以修改这些显示颜色的规则，  View ->Coloring Rules.
 
 
 
 
 
 封包详细信息 (Packet Details Pane)
 
 
 这个面板是我们最重要的，用来查看协议中的每一个字段。
 
 
 各行信息分别为
 
 
 Frame:   物理层的数据帧概况
 
 
 Ethernet II: 数据链路层以太网帧头部信息
 
 
 Internet Protocol Version 4: 互联网层IP包头部信息
  
 
 
 Transmission Control Protocol:  传输层T的数据段头部信息，此处是TCP
  
 
 
 Hypertext Transfer Protocol:  应用层的信息，此处是HTTP协议
 
 
  
 
 
 第 3 页 wireshark与对应的OSI七层模型
 
 
 
 
 
 
 TCP包的具体内容
 
 
  从下图可以看到wireshark捕获到的TCP包中的每个字段。
 
 
 
 
 
  
 
 
 第 4 页 实例分析TCP三次握手过程
 
 
 
 看到这， 基本上对wireshak有了初步了解， 现在我们看一个TCP三次握手的实例
 
 
  三次握手过程为
 
 
 
 
 
 这图我都看过很多遍了， 这次我们用wireshark实际分析下三次握手的过程。
 
 
 打开wireshark, 打开浏览器输入 http://www.9upk.com
 
 
 在wireshark中输入http过滤， 然后选中GET /tankxiao HTTP/1.1的那条记录，右键然后点击"Follow TCP Stream",
 
 
 这样做的目的是为了得到与浏览器打开网站相关的数据包，将得到如下图
 
 
 
 
 
 图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的， 这说明HTTP的确是使用TCP建立连接的。
 
 
 第一次握手数据包
 
 
 客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。 如下图
 
 
 
 
 
 第二次握手的数据包
 
 
 服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图
 
 
 
 
 
 第三次握手的数据包
 
 
 客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:
 
 
 
 
 
  就这样通过了TCP三次握手，建立了连接