wireshark怎么抓包分析网络故障实战

WireShark概览

1、Wireshark 是网络报文分析工具。网络报文分析工具的主要作用是尝试捕获网络报文， 并尝试显示报文尽可能详细的内容。过去的此类工具要么太贵，要么是非公开的。 直到Wireshark（Ethereal）出现以后，这种情况才得以改变。Wireshark可以算得上是今天能使用的最好的开源网络分析软件。2、WireShark简史：1997年，Gerald Combs 需要一个工具追踪网络问题，并且想学习网络知识。所以他开始开发Ethereal (Wireshark项目以前的名称) 以解决自己的需求。1998年，Ethreal020版诞生了。此后不久，越来越多的人发现了它的潜力，并为其提供了底层分析。2006年Ethreal改名为Wireshark。2008年，在经过了十年的发展后，Wireshark发布了10版本。3、WireShark的主要作用，就是可以抓取各种端口的报文，包括有线网口、无线网口、USB口、LoopBack口等等，从而就可以很方便地进行协议学习、网络分析、系统排错等后续任务。4、不同平台下的WireShark：目前WireShark支持几乎所有主流报文文件，包括pcap，cap ，pkt，enc等等。但是不同平台下的WireShark却有功能上的不同。总体来说，Linux版本WireShark的功能和特性比Windows版本的要丰富和强大。例如，Linux版本的WireShark可以直接抓取USB接口报文，而Windows版本就不行。

Figure 1，Linux下的WireShark

Figure 2，Windows下WireShark

Figure 3，各平台下的WireShark所支持的协议

各平台下的WireShark支持的协议如上图所示。从图中可以看到Linux下的版本功能最强大，由于平台本身特性，可以使WireShark几乎支持所有协议。但由于我们平时工作中主要抓取以太网报文，且绝大部分的 *** 作系统都是Windows，所以本文还是以Windows平台下的WireShark为例来进行说明。

如何正确使用WireShark抓取报文

1、WireShark组网拓扑。为了抓到HostA与HostB之间的报文，下面介绍几种WireShark组网。

i在线抓取：如果WireShark本身就是组网中的一部分，那么，很简单，直接抓取报文就行了。

ii 串联抓取：串联组网是在报文链路中间串联一个设备，利用这个中间设备来抓取报文。这个中间设备可以是一个HUB，利用HUB会对域内报文进行广播的特性，接在HUB上的WireShark也能收到报文。

若是WireShark有双网卡，正确设置网络转发，直接串接在链路上。

也可以利用Tap分路器对来去的报文进行分路，把报文引到WireShark上。

串联组网的好处是报文都必须经过中间设备，所有包都能抓到。缺点是除非原本就已经规划好，不然要把报文链路断开，插入一个中间设备，会中断流量，所以一般用于学习研究，不适用于实际业务网以及工业现场以太网。

iii 并联抓取：并联组网是将现有流量通过现网设备本身的特性将流量引出来。

若是网络本身通过HUB组网的，那么将WireShark连上HUB就可以。

若是交换机组网，那直接连上也能抓取广播报文。

当然，最常用的还是利用交换机的镜像功能来抓包。

并联组网的优点是不用破坏现有组网，适合有业务的在线网络以及工业现场以太网。缺点是HUB组网已经不常见，而交换机组网的设备开启镜像后，对性能有非常大的影响。

2、 WireShark的安装。WireShark是免费开源软件，在网上可以很轻松获取到。Windows版的WireShark分为32位而64位两个版本，根据系统的情况来决定安装哪一个版本，虽然64位系统装32位软件也能使用，但装相应匹配的版本，兼容性及性能都会好一些。在Windows下，WireShark的底层抓包工具是Winpcap，一般来说WireShark安装包内本身就包含了对应可用版本的Winpcap，在安装的时候注意钩选安装就可以。安装过程很简单，不再赘述。

3、使用WireShark抓取网络报文。Step1 选择需要抓取的接口，点选Start就开始抓包。

4、使用WireShark抓取MPLS报文。对于mpls报文，wireshark可以直接抓取带MPLS标签的报文。

5、使用WireShark抓取带Vlan Tag的报文。早期网卡的驱动不会对VLAN TAG进行处理，而是直接送给上层处理，在这种环境下，WireShark可以正常抓到带VLAN TAG的报文。而Intel，broadcom，marvell的网卡则会对报文进行处理，去掉TAG后再送到上层处理，所以WireShark在这种情况下通常抓不到VLAN TAG。这时我们需要针对这些网卡做一些设置，WireShark才能够抓取带VLAN TAG的报文。1） 更新网卡的最新驱动。2） 按照以下说明修改注册表：a) Intel：HKEY_LOCAL_MACHINE\SYSTEM \ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} \00xx（where xx is the instance of the network adapter that you need to see tags on ）PCI或者PCI-X网卡增加dword:MonitorModeEnabled，通常设置为1即可 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 8021Q vlan tags) 1 - enabled (Store bad packets Store CRCs Do not strip 8021Q vlan tags) PCI-Express网卡增加dword:MonitorMode，通常设置为1即可 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 8021Q vlan tags) 1 - enabled (Store bad packets Store CRCs Do not strip 8021Q vlan btag) 2 - enabled strip vlan (Store bad packets Store CRCs Strip 8021Q vlan tag as normal)；b) Broadcom：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet下搜索，找到"TxCoalescingTicks"并确认这是唯一的，增加一个新的字符串值"PreserveVlanInfoInRxPacket"，赋值1。c) Marvell Yukon 88E8055 PCI-E 千兆网卡："HKLM\SYSTEM \CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318} \000"（where 000 is the number of the folder for the Marvel ethernet controller）增加DWORD：SkDisableVlanStrip：1；3） 以Intel网卡为例，对网卡进行配置。选择Intel网卡的本地连接，右键属性

点击“配置”按钮。

在VLAN选项卡中，加入任意一个VLAN，激活接口的VLAN TAG上送功能。此时可以把“本地连接”接口看成是一个Trunk接口。

配置完VLAN后，如果发现系统禁用了“本地连接”接口，则只要启用它，会看到网络连接中会出现一个新的子接口“本地连接2”。

在WireShark上查看抓取“本地连接”接口的报文。

可以看到已经可以抓到有VLAN TAG的报文了。

由于此时的子接口都是有VLAN属性的，所以无法当成正常的网卡来用。如果想要在抓VLAN包的同时，还能够与网络正常通信，只要再新建一个未标记的VLAN就行。

这时，会生成一个对应的子接口“本地连接3”，在这个接口上正确配置网络参数，就可以正常通信了。

这个问题比较简单就可以实现，首先，你要先在交换机上镜像出来一组你需要监控的数据。

然后，打开wireshark，选择列出抓包接口，选择要抓包的接口，

这时候别点开始，点倒数第二个按钮，选项。

在出来的窗口里面，双击你刚才选中接口，又d出一个窗口，

这时候，在最下面填上过滤条件tcp，

点击确定。

然后点击下面的开始，

就可以了，抓出来的包全是tcp的。

如果抓之前，你没过滤，已经把所有的包都抓出来了，

这时候，把数据包打开，在最上面的过滤条件里面输入tcp，就可以了。

过滤条件有很多命令格式，多记住几个经常用的就可以了。

我们的wifi 数据包如果你不是选的open model 都是加密的， 那莫我们如何利用wireshark 来解密data 包呢？

这里我们简单讲一下。 

前提： 你知道wifi 的加密方式，ssid ， key。

打开wireshark 开始抓包 一般不太可能网卡要抓包必须支持sniffer mode所以一般都用ominpick 来抓， 然后在连接client。  记住一定要抓到 client 和ap 之间 key 沟通的包。也就是key 四次hand 包。 不然是没办法解密的。  

使用wireshark抓到的wifi数据包如果是加密的，就只能显示密文，无法得到真正的数据。

如果知道AP和SSID和key，就可以解密wifi数据包，显示上层协议的数据。 

在wireshark中设置如下：

Edit -> Preferences -> Protocols -> IEEE80211 -> Edit。 

点击“+”新建一个entry，以我的AP为例，Key type选择wps-psk，key填(key:SSID)。 

具体步骤如图：

这里注意可以是有SSID：key组成，这是由于wpa-psk 的加密key 是由key 和ssid 以及anounce number 共同产生的，这既是为啥一定要4 各key交换的包 取 anouce number的。 

设置完，点击ok即可！

打开CSDN APP，看更多技术内容

WiFi---Wireshark抓包及分析说明_gege_hxg的博客_wifi抓包

用Wireshark或MNM捕获WIFI包 m0_53411329的博客 1128 实验环境: 在电脑上安装Wireshark或MNM Windows系统 外置网卡 wireshark官网:Wireshark· Go Deep MNM官网:Download Microsoft Network Monitor 34 (archive) from Official Microsoft

继续访问

基于树莓派的WIFI抓包、分析(wireshark)并上传至阿里云数据库_人生

1)实现对环境中所有wifi信号的抓取 2)对抓取后的报文进行解析,能够拿到每个报文的rss、源MAC地址、目标MAC地址、时间戳 3)建立云数据库存储解析后的数据 4)开发安卓app,用图形UI对数据库的数据进行访问并按照需求进行数据处理(比如实现

继续访问

用Wireshark提取WPA握手包,用于破解无线密码,上网分享pdf

用Wireshark提取WPA握手包,用于破解无线密码,上网分享pdf

Wireshark解密80211报文

wireshark 解析 80211 报文

继续访问

wireshark如何分析加密的WIFI数据包 [转]_awks4002的博客

使用wireshark抓到的wifi数据包如果是加密的,就只能显示密文,无法得到真正的数据。 如果知道AP和SSID和key,就可以解密wifi数据包,显示上层协议的数据。 在wireshark中设置如下: Edit -> Preferences -> Protocols -> IEEE80211 -> Edi

继续访问

[Wi-Fi抓包篇]3 WireShark ——抓wlan口包的方法_TommyMusk的博客-CS

1何时需要捕获wlan口包 由于捕获空口包只能捕获路由器与设备之间通信包,对于路由器与WLAN口之间的数据无法捕获。 因此,需要借助额外的手段捕获wlan口包。 理论上,Omnipeek和WireShark都可以抓wlan口包,实践中一般是一台电脑同时抓空口

继续访问

wireshark如何分析加密的WIFI数据包

使用wireshark抓到的wifi数据包如果是加密的，就只能显示密文，无法得到真正的数据。 如果知道AP和SSID和key，就可以解密wifi数据包，显示上层协议的数据。 在wireshark中设置如下： Edit -> Preferences -> Protocols -> IEEE80211 -> Edit。 点击“+”新建一个entry，以我的AP为例，Key type选择wps-

继续访问

最新发布 Wireshark分析80211 WiFi 数据包常用显示过滤器

80211 数据包分析

继续访问

WiFi----Wireshark抓包及分析说明

wireshark 抓包使用手册 Wireshark 概述 Wireshark 软件是非常流行的网络封包分析软件，可以截取各种网络数据包，并显示数据包的详细信息。 通常在开发测试，问题处理中会使用该工具定位问题。 Wireshark 工具介绍： 21 Wireshark 界面介绍 注：说明：数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules。如下所示 211 过滤栏 Display Filter(显示过滤器)， 用于设置过滤

继续访问

Wireshark-win64-320-2019-12月版本rar

201912月份发布的Wireshark320版本，Windows 64bit，可以进行5G NR WIFI等通信协议解码。

关于WiFi握手包解密 *** 作

当我们用Aircrack-ng抓取到握手包时，我们会发现它们都是被加密过的，里面是清一色的80211协议数据 此为在实验室里Aicrack-ng监听时抓下来的握手包 Wireshark 可以在预共享（或个人）模式下解 WEP 和 WPA/WPA2 Wireshark版本太老可能没有相应功能（我自己windows上的就没有） 这里用kali内的Wireshark演示 Kali内的Wireshark，在视图中勾选上无线工具栏 接着wireshark就会多出来下图所示的工具栏，点击80211首选项—Edi

继续访问

WireShark Wifi认证数据包分析(论文idea)

1、使用 wireShark捕获80211数据帧结构分成三种，管理帧、控制帧、数据帧。 使用的过滤语法：　 过滤MAC 地址：　Walnbssid eq=8c:23:0c:44:21:0f 过滤特定的服务类型;　wlanfctype_subtype eq 0x0B 过滤特定频率的包:radiotap:channelfreq

继续访问

网络安全--通过握手包破解WiFi(详细教程)

本文实验使用CDLinux配合minidwep-gtk工具通过破解握手包破解WiFi。本次实验只用于学习交流，攻击目标为自家的路由WiFi，请勿违法！ewsa破解版(全称ElcomsoftWirelessSecurityAuditor)，它是来自俄罗斯的一款方便实用、拥有强大的无线网络wifi密码破解功能，而它工作原理就是利用密码词典去暴力破解无线AP上的WPA和WPA2密码。软件中的密码词典支持字母大小写、数字替代、符号顺序变换、缩写、元音替换等12种变量设定。最后送大家一个EWSA注册码。

继续访问

Wireshark数据包分析(详细解析)

wireshark数据包分析 Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。 数据包分析器又名嗅探（Sniffers），是一种网络流量数据分析的手段，常见于网络安全领域使用，也有用于业务分析领域，一般是指使用嗅探器对数据流的数据截获与分组分析（Packet analysis)。 wireshark下载地址 >

在抓包分析中，请求失败和响应失败有不同的表现和数据特征。具体可以通过以下几点来判断：

1 请求失败：如果一个请求出现了失败，那么往往会出现一些异常现象，如请求的URL无法打开，或者请求的IP地址不可访问等等。此时可以通过观察返回的请求状态码或者错误代码来判断请求是否成功。一般而言，如果请求的状态码为4xx或5xx等错误状态码，则说明请求失败，具体的状态码与错误代码会给出详细的解释。

2 响应失败：如果一个请求已成功发出，但是却无法获得响应，那么往往是由于连接超时或服务器内部错误等原因导致的。此时可以通过观察相应报文头部的状态码、响应时间等信息来判断响应是否失败。一般而言，如果响应超时、服务器返回的响应状态码为5xx等错误状态码，则说明响应失败。

3 网络异常：除了请求和响应失败之外，还有可能是由于网络异常导致了请求或响应的失败。这种情况下，一般会出现网络连接失败、丢包、延迟等问题，可以通过查看抓包文件中的网络数据包的信息来判断是否存在包丢失、延迟等问题。

总的来说，如果是请求失败，那么可以通过请求状态码和相关的错误代码来判断；如果是响应失败，那么可以通过响应状态码和响应时间等信息来判断；如果是网络异常，则需要观察网络包的相关信息来判断是否存在网络丢包、延迟等故障。

Wireshark无法开启监控模式可能有多种原因，以下是一些可能的解决方法：

1缺少必要的权限：在Linux和Mac *** 作系统中，Wireshark需要root权限才能开启监控模式，您可以尝试使用sudo命令以管理员身份运行Wireshark。在Windows *** 作系统中，您需要使用管理员身份运行Wireshark。

2网络接口不支持监控模式：不是所有的网络接口都支持监控模式，如果您使用的网络接口不支持监控模式，那么Wireshark将无法开启监控模式。您可以尝试使用另一个支持监控模式的网络接口。

3其他程序占用了网络接口：如果其他程序正在使用您的网络接口，那么Wireshark将无法开启监控模式。您可以尝试关闭其他程序或者重新启动计算机，然后再次尝试开启监控模式。

4没有安装必要的驱动程序：在某些情况下，您可能需要安装额外的驱动程序才能支持监控模式。请检查您的网络接口的文档或者生产商的网站，以确定是否需要安装额外的驱动程序。

5Wireshark版本不兼容：如果您使用的是较老的Wireshark版本，那么它可能不支持您的网络接口或者 *** 作系统。请尝试更新到最新的版本，以确保兼容性。

希望这些解决方法能够帮助您解决问题。如果您仍然无法开启监控模式，请提供更多细节，我将尽力帮助您。

以上就是关于wireshark怎么抓包分析网络故障实战全部的内容，包括:wireshark怎么抓包分析网络故障实战、如何用 Ethereal/WireShark 抓取无线接口的包、wireshark无法解密wifi数据包等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！