文章来源：
Wireshark使用教程（界面说明、捕获过滤器表达式、显示过滤器表达式） - 努力改个网名 - 博客园​www.cnblogs.com
一、说明1.1 背景说明
对于大多数刚开始接触wireshark的使用者而言，经常是开始的时候时候看到wireshark能把所有数据包都拦截下来觉得强无敌，但是面对一大堆的数据包要问有什么用或者说想要找到我想要的那些数据包怎么找（比如telnet登录过程的那些数据包）则完全是一脸茫然。
一是界面一堆窗口，什么作用什么区别看不懂；二是捕获、显示过滤器表达示看不出有什么规律，每次过滤都要百度找半天。其实wireshark界面还是比较清晰的，过滤器表过示也不困难，我们今天就来破解这wireshark使用的两大难题。
官网地址：https://www.wireshark.org/
官网下载地址：https://www.wireshark.org/#download
安装就不多说了和一般windows一样下一步下一下装就可以了。另外ethereal为什么在2006年更名wireshark参见：https://www.linux.com/news/ethereal-changes-name-wireshark1.2 拦截本地回环数据
另外注意本机访问本机的回环数据是不经过网卡的，比如我们在本机访问搭建在本机上的web服务，但我们经常有服务搭建在本机的操作也经常有拦截本地回环数据包加以分析的需求，所以我们环要拦载回环数据包。操作如下。
首先，以管理员身份运行cmd（普通用户没有路由表操作权限，会提示“请求的操作需要提升”）
然后，使用ipconfig查看本机ip和网关：
ipconfig
再然后，使用以下命令添加路由，指定回环数据也要先转发到网关（使用上一步获取本的本机ip和网关替换其中的<your_IP>和<gateway_IP>）：
route add <your_IP> mask 255.255.255.255 <gateway_IP> metric 1
最后，查看路由表中路由是否已添加成功：
route print
回环数据经网关再回来会增加网卡的压力，可使用以下命令删除路由（使用前边获取本的本机ip替换其中的<your_IP>）：
route delete <your_IP>二、Wireshark界面说明
过滤器表达式书写是wireshark使用的核心，但在此之前，很多初学者还会碰到一个难题，就是感觉wireshark界面上很多东西不懂怎么看。其实还是挺明了的我们下面简单说一下，如下图。
1号窗口展示的是wireshark捕获到的所有数据包的列表。注意最后一列Info列是wireshark组织的说明列并不一定是该数据包中的原始内容。
2号窗口是1号窗口中选定的数据包的分协议层展示。底色为红色的是因为wireshark开启校验和验证而该层协议校验和又不正确所致。
3号窗口是1号窗口中选定的数据包的源数据，其中左侧是十六进制表示右侧是ASCII码表示。另外在2号窗口中选中某层或某字段，3号窗口对应位置也会被高亮。

被认为最难的其实还是2号窗口展开后的内容不懂怎么看，其实也很明了，以IP层为例：
每一行就对应该层协议的一个字段；中括号行是前一字段的说明。
冒号前的英文是协议字段的名称；冒号后是该数据包中该协议字段的值。
三、捕获过滤器表达式
捕获过滤器表达式作用在wireshark开始捕获数据包之前，只捕获符合条件的数据包，不记录不符合条件的数据包。
捕获过滤器表达式没有像显示过滤器表达式那样明显的规律，但写法不多所以也不难；而且除非全部捕获要占用的磁盘空间实现太大，且你非常明确过滤掉的数据包是你不需要的，不然一般都不用捕获过滤器表达式而用显示过滤器表达式。
在wireshark2.x版本，启动后欢迎界面即有捕获过滤器，在其中输入过滤表达式开始捕获数据包时即会生效：

点击图中“书签”标志，再点管理“捕获筛选器”，即可看到常用捕获过滤表达示的书写形式
四、显示过滤器表达示及其书写规律
显示过滤器表达式作用在在wireshark捕获数据包之后，从已捕获的所有数据包中显示出符合条件的数据包，隐藏不符合条件的数据包。
显示过滤表达示在工具栏下方的“显示过滤器”输入框输入即可生效
4.1 基本过滤表达式
一条基本的表达式由过滤项、过滤关系、过滤值三项组成。
比如ip.addr == 192.168.1.1，这条表达式中ip.addr是过滤项、==是过滤关系，192.168.1.1是过滤值（整条表达示的意思是找出所有ip协议中源或目标ip、等于、192.168.1.1的数据包）4.1.1 过滤项
初学者感觉的“过滤表达式复杂”，最主要就是在这个过滤项上：一是不知道有哪些过滤项，二是不知道过滤项该怎么写。
这两个问题有一个共同的答案-----wireshark的过滤项是“协议“+”.“+”协议字段”的模式。以端口为例，端口出现于tcp协议中所以有端口这个过滤项且其写法就是tcp.port。
推广到其他协议，如eth、ip、udp、http、telnet、ftp、icmp、snmp等等其他协议都是这么个书写思路。当然wireshark出于缩减长度的原因有些字段没有使用协议规定的名称而是使用简写（比如Destination Port在wireshark中写为dstport）又出于简使用增加了一些协议中没有的字段（比如tcp协议只有源端口和目标端口字段，为了简便使用wireshark增加了tcp.port字段来同时代表这两个），但思路总的算是不变的。而且在实际使用时我们输入“协议”+“.”wireshark就会有支持的字段提示（特别是过滤表达式字段的首字母和wireshark在上边2窗口显示的字段名称首字母通常是一样的），看下名称就大概知道要用哪个字段了。wireshark支持的全部协议及协议字段可查看官方说明。4.1.2 过滤关系
过滤关系就是大于、小于、等于等几种等式关系，我们可以直接看官方给出的表。注意其中有“English”和“C-like”两个字段，这个意思是说“English”和“C-like”这两种写法在wireshark中是等价的、都是可用的。
4.1.3 过滤值
过滤值就是设定的过滤项应该满足过滤关系的标准，比如500、5000、50000等等。过滤值的写法一般已经被过滤项和过滤关系设定好了，只是填下自己的期望值就可以了。4.2 复合过滤表达示
所谓复合过滤表达示，就是指由多条基本过滤表达式组合而成的表达示。基本过滤表达式的写法还是不变的，复合过滤表达示多出来的东西就只是基本过滤表达示的“连接词”
我们依然直接参照官方给出的表，同样“English”和“C-like”这两个字段还是说明这两种写法在wireshark中是等价的、都是可用的。
4.3 常见用显示过滤需求及其对应表达式
数据链路层：
筛选mac地址为04:f9:38:ad:13:26的数据包----eth.src == 04:f9:38:ad:13:26
筛选源mac地址为04:f9:38:ad:13:26的数据包----eth.src == 04:f9:38:ad:13:26
网络层：
筛选ip地址为192.168.1.1的数据包----ip.addr == 192.168.1.1
筛选192.168.1.0网段的数据---- ip contains "192.168.1"
筛选192.168.1.1和192.168.1.2之间的数据包----ip.addr == 192.168.1.1 && ip.addr == 192.168.1.2
筛选从192.168.1.1到192.168.1.2的数据包----ip.src == 192.168.1.1 && ip.dst == 192.168.1.2
传输层：
筛选tcp协议的数据包----tcp
筛选除tcp协议以外的数据包----!tcp
筛选端口为80的数据包----tcp.port == 80
筛选12345端口和80端口之间的数据包----tcp.port == 12345 && tcp.port == 80
筛选从12345端口到80端口的数据包----tcp.srcport == 12345 && tcp.dstport == 80
应用层：
特别说明----http中http.request表示请求头中的第一行（如GET index.jsp HTTP/1.1），http.response表示响应头中的第一行（如HTTP/1.1 200 OK），其他头部都用http.header_name形式。
筛选url中包含.php的http数据包----http.request.uri contains ".php"
筛选内容包含username的http数据包----http contains "username"

what？
wireshark（前称Ethereal）是一个免费开源的网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包，并尽可能显示出最为详细的网络数据包资料。
在过去，网络数据包分析软件是非常昂贵，或是专门属于营利用的软件，然而Wireshark的出现却改变了这种生态。[原创研究？]在GNU通用公共许可证的保障范围底下，用户可以以免费的代价获取软件与其代码，并拥有针对其源代码修改及定制的权利。Wireshark是目前全世界最广泛的网络数据包分析软件之一。
1997年底，Gerald Combs需要一个能够追踪网络流量的工具软件作为其工作上的辅助。因此他开始撰写Ethereal软件。
2006年6月，因为商标的问题，Ethereal更名为Wireshark。
-- 摘自维基百科
why？
日常开发中，我们经常会遇到需要抓包的场景。通过抓包，我们可以验证接口响应的结果是否与我们预期一致。市面上有非常多的抓包软件，以mac平台为例，charles便是其平台上使用非常广泛的抓包软件。charles非常优秀，界面简洁优美，展示也非常清晰。但是charles能够抓取到的网络包有限，当出现以下情况的时候，charles也许就无能为力了：
抓取非HTTP包，比如你想抓包体验TCP三次握手的过程
抓取未经设置的flutter应用时，使用charles抓取不到数据包
...
为什么flutter的应用发出的请求charles无法抓取到呢？
这跟charles这类软件的工作原理有关系，charles会启动一个代理服务器，当客户端系统配置代理以后，请求包会经由charles的代理服务器到互联网中，因此charles才能够抓取到请求包。但是这种情况有个前提：就是当客户端系统配置代理以后，客户端软件要用客户端系统中的代理进行访问。
但是flutter中的网络库，默认情况下不会使用系统代理。这也就是为什么你配置了系统代理仍然抓取不到flutter包的原因。
为什么wireshark拥有比charles更强的能力呢？
不同于charles，wireshark工作的时候，会借助Winpcap(windows)/Libpcap(linux)/AirPacp(无线网卡驱动)直接与网卡进行数据交换，进出网卡的数据流量都能被wireshark所捕获。因此，就比基于代理原理的抓包工具拥有更强的能力。（这里说网卡也许不那么准确，准确来说是 Network Interface 不过一般来说interface对应实体网卡，但是也可以对应虚拟网卡。关于Network Interface的具体含义可以参考JDK官方文档：https://docs.oracle.com/javase/tutorial/networking/nifs/definition.html）
（正在监听底层数据网卡流量的wireshark)
how？
使用wireshark抓取本机
所谓本机就是运行wireshark的机器，只需要在wireshark启动的时候选择想要捕获的网卡即可。
使用wireshark抓取手机
以iphone为例可以参考：https://www.jianshu.com/p/428503609bc1
使用wireshark抓取虚拟机/模拟器
抓取手机上的网络包时候，还是需要做一些前置配置的，比如上面抓取iphone的包。如果你没有数据线，或是懒得将目光在自己的手机和电脑之间切换。那么在电脑上装上一个安卓虚拟机/模拟器或是ios虚拟机/模拟器应该是个更好的选择。由于虚拟机/模拟器的流量是通过宿主机的网卡发送到互联网上，因此，启动模拟器之后，你只需要像监听宿主机的网卡即可捕获到模拟器中的流量。
wireshark使用界面
1》开始捕获数据包
2》停止捕获数据包
3》停止然后重新捕获数据包
4》捕获过程的设置，比如设置捕获哪些网卡。只有在捕获停止的时候才能进行设置，正在捕获时不能设置。
5》打开自己曾经捕获的数据包文件
6》保存当前捕获的数据包为文件
7》关闭当前打开的数据包文件
8》重载当前打开的数据包文件
9》可以对包中的文本进行搜索

10》选中当前记录的上一条记录
11》选中当前记录的下一条记录
12》跳到指定编号的包记录
13》跳到当前捕获包列表中的第一条记录
14》跳到当前捕获包列表中的最后一条记录
15》抓取过程中，自动定位到最下面一条记录（最新的记录），可以想象成linux中的tail命令
16》使用预定义的颜色规则对捕获的包进行着色

17》放大界面
18》缩小界面
19》重置界面
20》自适应界面
21》捕获的包列表，每个记录为一个包
22》捕获包的具体内容 该内容显示结果对用户不友好，可以借助23来分析包内容
23》包的分层解析结果 以一条http请求包为例，wireshark会解析出该包每层内容
如下图所示1为http协议，2为tcp协议，3为ip协议

24》包搜索框，与9功能不同的是：此处填写的是符合wireshark定义规则的包过滤表达式，可以理解为数据库中的sql语句。
包过滤表达式
当我们想要过滤出来源ip为10.0.0.5的数据包时，我们可以在表达式搜索框24中输入以下表达式语句：
ip.src==10.0.0.5
问题在于：
ip这个名字是怎么来的？
怎么知道ip有src这个属性的？
除了等号运算之外表达式还支持什么逻辑运算？
前两个其实是同一个问题：
可以通过 view->internals->supported protocols 查看wireshark能够支持的协议，以及每个协议的属性。
从上图就可以知道，wireshark支持你过滤http协议的包，并且，你也知道了http协议有很多属性，其中3处http.accept就意味着你可以用这个属性去过滤包了。
最后除了等号以外，wireshark还支持以下运算符，其中，english的写法和c风格的写法是一样的，意味着你在
ip.src == 10.1.1.10  与 ip.src eq 10.1.1.10  的过滤效果是相同的
wireshark支持的比较运算符：

	

在审查可疑网络活动时，经常遇到加密流量。大多数网站使用HTTPS协议，各种类型的恶意软件也使用HTTPS，查看恶意软件产生的数据对于了流量内容非常有帮助。
本文介绍了如何利用Wireshark从pcap中解密HTTPS流量。可以使用基于文本的日志进行解密方法，日志中包含最初记录pcap时捕获的加密密钥数据。
HTTPS Web流量
HTTPS流量通常显示一个域名。例如，在Web浏览器中查看https://www.wireshark.org，在自定义的Wireshark列显示中查看时，pcap将显示www.wireshark.org作为此流量的服务器名称。但无法知道其他详细信息，例如实际的URL或从服务器返回的数据。
加密密钥日志文件
加密密钥日志是一个文本文件。
最初记录pcap时，使用中间人(MitM)技术创建这些日志。如果在记录pcap时未创建任何此类文件，则无法解密该pcap中的HTTPS通信。
示例分析
有密钥日志文件的HTTPS流量
Github存储库中有一个受密码保护的ZIP文件，其中包含pcap及其密钥日志文件。ZIP中包含的pcap通过密钥日志解密后，可以访问恶意软件样本。
从ZIP(密码：infected)中提取pcap和密钥日志文件：
Wireshark-tutorial-KeysLogFile.txt
Wireshark解密HTTPS-SSL-TLS-traffic.pcap教程
没有密钥日志文件的HTTPS流量
在Wireshark中打开解密的HTTPS-SSL-TLS-traffic.pcap Wireshark教程，使用Web筛选器：
(http.request或tls.handshake.type eq 1)和！(ssdp)
此pcap来自Windows 10主机上的Dridex恶意软件，所有Web流量(包括感染活动)都是HTTPS。没有密钥日志文件，看不到流量的任何详细信息，只有IP地址，TCP端口和域名：
加载密钥日志文件
在Wireshark中打开解密的HTTPS-SSL-TLS-traffic.pcap Wireshark，使用菜单路径Edit –> Preferences来打开Preferences菜单：
在Preferences菜单的左侧，单击Protocols：
如果使用的是Wireshark版本2.x，需要选择SSL。如果使用的是Wireshark 3.x版，需要选择TLS。选择SSL或TLS后，可以看到(Pre)-Master-Secret日志文件名。单击“浏览”，然后选择名为Wireshark-tutorial-KeysLogFile.txt的密钥日志文件：
密钥日志文件的HTTPS流量
单击“确定”后，Wireshark会在每条HTTPS行下列出解密的HTTP请求：
在此pcap中可以看到隐藏在HTTPS通信中对microsoft.com和skype.com域的HTTP请求，还发现由Dridex发起的以下流量：
foodsgoodforliver[.]com – GET /invest_20.dll
105711[.]com – POST /docs.php
对foodsgoodforliver[.]com的GET请求返回了Dridex的DLL文件。对105711[.]com的POST请求是来自受Dridex感染的Windows主机的命令和控制(C2)通信。
针对foodsgoodforliver[.]com的HTTP GET请求的HTTP流：
可以从pcap导出此恶意软件，使用菜单路径文件–>导出对象–> HTTP从pcap导出该文件：
使用file命令确认这是一个DLL文件，然后使用shasum -a 256获取文件的SHA256哈希：
该恶意软件的SHA256哈希为：
31cf42b2a7c5c558f44cfc67684cc344c17d4946d3a1e0b2cecb8e*173cb2f
还可以检查来自此Dridex感染的C2流量，下图显示了其中一个HTTP流的示例：
参考链接
Customizing Wireshark – Changing Your Column Display
Using Wireshark – Display Filter Expressions
Using Wireshark: Identifying Hosts and Users
Using Wireshark: Exporting Objects from a Pcap
Wireshark Tutorial: Examining Trickbot Infections
Wireshark Tutorial: Examining Ursnif Infections
Wireshark Tutorial: Examining Qakbot Infections
精彩推荐

	

在本教程中，你将学习如何在 Ubuntu 和其它基于 Ubuntu 的发行版上安装最新的 Wireshark。同时你也将学习如何在没有 sudo 的情况下来运行 Wireshark，以及如何设置它来进行数据包嗅探。-- Kushal Rai
Wireshark 是一款自由开源的网络协议分析器，它在全球被广泛使用。
通过使用 Wireshark，你可以实时捕获网络的传入和传出数据包，并将其用于网络故障排除、数据包分析、软件和通信协议开发等。
它适用于所有主流的桌面操作系统，如 Windows、Linux、macOS、BSD 等。
在本教程中，我将指导你在 Ubuntu 和其他基于 Ubuntu 的发行版上安装 Wireshark 。我还将介绍如何设置和配置 Wireshark 来捕获数据包。
在基于 Ubuntu 的 Linux 发行版上安装 Wireshark
Wireshark 适用于所有主流 Linux 发行版。你应该查看官方安装说明。因为在本教程中，我将着重在仅基于 Ubuntu 的发行版上安装最新版本的 Wireshark 。
Wireshark 可以在 Ubuntu 的 Universe 存储库中找到。你可以启用 universe 存储库，然后按如下方式安装：
sudo add-apt-repository universesudo apt install wireshark
这种方法的一个小问题是，你可能并不总是得到最新版本的 Wireshark 。
例如，在 Ubuntu 18.04 中，如果你使用 apt 命令检查 Wireshark 的可用版本，可用版本会显示是 2.6 。
abhishek@nuc:~$ apt show wiresharkPackage: wiresharkVersion: 2.6.10-1~ubuntu18.04.0Priority: optionalSection: universe/netOrigin: UbuntuMaintainer: Balint Reczey <rbalint@ubuntu.com>
然而， Wireshark 3.2 稳定版已经在几个月前发布了。当然，新版本拥有新的特性。
那么在这种情况下，你应该怎么办呢？谢天谢地， Wireshark 开发者提供了一种官方 PPA 方式，你可以使用它在 Ubuntu 和其它基于 Ubuntu 的发行版上安装最新稳定版本的 Wireshark.
我希望你熟悉 PPA。如果没有，请阅读我们关于 PPA 的优秀指南，以便完全理解它。
打开终端并逐个使用以下命令：
sudo add-apt-repository ppa:wireshark-dev/stablesudo apt updatesudo apt install wireshark
即使安装了旧版本的 Wireshark ，它也将更新为新版本。
安装时，系统将询问你是否允许非超级用户捕获数据包。选择“Yes”允许，选择“No”限制非超级用户捕获数据包，最后完成安装。
不使用 sudo 运行 Wireshark
如果在上一次安装中选择了“No”，则以 root 用户身份运行以下命令：
sudo dpkg-reconfigure wireshark-common
然后按 tab 键并使用回车键选择“No”：
由于你允许非超级用户捕获数据包，因此你必须将该用户添加到 wireshark 组。使用 usermod 命令将自己添加到 wireshark 组。
sudo usermod -aG wireshark $(whoami)
最后，重启你的 Ubuntu 系统对你的系统进行必要的修改。
冷知识
Wireshark 于 1998 年首次发布，最初被称为 Ethereal 。2006 年，由于商标问题，开发商不得不将其名称改为 Wireshark 。
启动 Wireshark
你可以从应用程序启动器或者命令行启动 Wireshark 应用。
如果从命令行启动，只需要在你的控制台中输入 wireshark：
wireshark
要是从图形化界面启动，需要在搜索栏搜索 Wireshark 应用，并按回车键。
现在，让我们来玩玩 Wireshark 吧。
使用 Wireshark 捕获数据包
当你启动 Wireshark 的时候，你会看到一个接口列表，你可以使用它来捕获这个接口接收和发送的数据包。
你可以使用 Wireshark 监视许多类型的接口，例如，有线、外部设备等。根据你的偏好，你可以从下图中的标记区域选择在欢迎屏幕中显示特定类型的接口。
Select interface
例如，我只列出了有线网络接口。
接下来，要开始捕获数据包，你必须选择接口(在我的示例中是 ens33 )，然后单击“Start capturing packets”图标，如下图所示。
Start capturing packets with Wireshark
你还可以同时从多个接口捕获数据包。只需按住 CTRL 按钮，同时单击要捕获的接口，然后点击“Start capturing packets”图标，如下图所示。
接下来，我尝试在终端中使用 ping google.com 命令，如你所见，捕获了许多数据包。
Captured packets
现在你可以选择任何数据包来检查该特定数据包。在点击一个特定的包之后，你可以看到与它相关的 TCP/IP 协议的不同层的信息。
Packet info
你还可以在底部看到该特定数据包的原始数据，如下图所示。
Check RAW data in the captured packets
这就是为什么端到端加密很重要。
假设你正在登录一个不使用 HTTPS 的网站。与你在同一网络上的任何人都可以嗅探数据包，并在原始数据中看到用户名和密码。
这就是为什么现在大多数聊天应用程序使用端到端加密，而大多数网站使用 https (而不是 http)。
在 Wireshark 中停止数据包捕获
你可以点击如图所示的红色图标停止捕获数据包。
Stop packet capture in Wireshark
将捕获的数据包保存成文件
你可以单击下图中标记的图标，将捕获的数据包保存到文件中以备将来使用。
Save captured packets by Wireshark
注意：输出可以导出为 XML、PostScript、CSV 或纯文本。
接下来，选择一个目标文件夹，键入文件名并单击“Save”。
然后选择文件并单击“Open”。
现在你可以随时打开和分析保存的数据包。要打开文件，请按 \+o，或从 Wireshark 转到 “File > Open”。
捕获的数据包将从文件中加载。
结语
Wireshark 支持许多不同的通信协议。有许多选项和功能，使你能够以独特的方式捕获和分析网络数据包。你可以从 Wireshark 的官方文档了解更多关于 Wireshark 的信息。
我希望这个教程能帮助你在 Ubuntu 上安装 Wireshark 。请让我知道你的问题和建议。
via: https://itsfoss.com/install-wireshark-ubuntu/
作者：Community 选题：lujun9972 译者：qianmigntian 校对：wxy
本文由 LCTT 原创编译，Linux中国 荣誉推出