wireshark如何抓取别人电脑的数据包

抓取别人的数据包有几种办法，第一种是你和别人共同使用的那个交换机有镜像端口的功能，这样你就可以把交换机上任意一个人的数据端口做镜像，然后你在镜像端口上插根网线连到你的网卡上，你就可以抓取别人的数据了；第二种，把你们局域网的交换机换成一个集线器，这样的换所有的数据包都是通发的，也就是说，不管是谁的数据包都会路过这个集线器上的每一个计算机，只要你将网卡设置为混杂模式就能抓到别人的包；第三种，利用MAC地址欺骗，在局域网内发送ARP包，使其他计算机都误以为你是网关，这样的话，其他计算机都会将它们的数据包发送到你这里，你就可以抓到它们的包了，不过如果你用这种方法，建议还是自己写个程序比较好，现在很多无良工具都是截获别人的数据请求不转发，最好转发一下，这样其它计算机就不会发现你在做MAC欺骗了；第四种，如果你们是共用一个ADSL猫上网的话，有条件的情况下，你还可以给自己的电脑安装两个网卡，一个网卡接猫，一个接交换机，然后把接猫的网卡共享，这里接猫的网卡的IP设置为19216811，让这个网卡做网关，别的电脑都通过这个网卡上网，所以你可以轻易的在这个网卡上捕获别的电脑的数据包。上述四种方法仅作为技术研究在此讨论。

开始界面

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

点击Caputre->Interfaces 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包

Wireshark 窗口介绍

WireShark 主要分为这几个界面

1 Display Filter(显示过滤器)， 用于过滤

2 Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表

3 Packet Details Pane(封包详细信息), 显示封包中的字段

4 Dissector Pane(16进制数据)

5 Miscellanous(地址栏，杂项)

使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种，

一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录

一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。 在Capture -> Capture Filters 中设置

保存过滤

在Filter栏上，填好Filter的表达式后，点击Save按钮， 取个名字。比如"Filter 102",

Filter栏上就多了个"Filter 102" 的按钮。

过滤表达式的规则

表达式规则

1 协议过滤

比如TCP，只显示TCP协议。

2 IP 过滤

比如 ipsrc ==1921681102 显示源地址为1921681102，

ipdst==1921681102, 目标地址为1921681102

3 端口过滤

tcpport ==80, 端口为80的

tcpsrcport == 80, 只显示TCP协议的愿端口为80的。

4 >

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

点击Caputre->Interfaces 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包

WireShark 主要分为这几个界面

1 Display Filter(显示过滤器)， 用于过滤

2 Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表

3 Packet Details Pane(封包详细信息), 显示封包中的字段

4 Dissector Pane(16进制数据)

5 Miscellanous(地址栏，杂项)

wireshark

抓包是对整个网卡而言的，无法对相应的应用程序进行抓包，但你可以通过分析你的程序进行过滤，比如我要抓浏览器的包，在抓好的包里进行 >

这个很简单，直接在电脑上安装抓包软件wireshark，将电脑与路由器连接好，点开wireshark，开始采集，此时界面会d出一个小窗口，需要你选择要抓包的网卡，你应该选择与路由器互联的网卡。准备就绪，直接登录web界面，wireshark会抓取到所有从选定网卡收发的报文了。

首先我们打开wireshark软件的主界面，在主界面上选择网卡，然后点击start。wireshark即进入抓包分析过程。在本篇我们选择以太网，进行抓包。

接下来再界面我们可以看到wireshark抓到的实时数据包。我们对数据包的各个字段进行解释。

1No:代表数据包标号。

2Time：在软件启动的多长时间内抓到。

3Source：来源ip。

4Destination: 目的ip。

5Protocol：协议。

6Length:数据包长度。

7info：数据包信息。

接下来我们点击解析后的某一条数据可以查看数据包的详细信息。

在抓包过程中，我们可以点击图标启动或者停止。来启动或者停止抓取数据包。

接下来我们将简单介绍Filter处，对来源Ip以及目的Ip的过滤表达式的写法。

首先我们在Filter处填写ipaddr eq 1921682101。表示获取来源ip以及目的ip都是1921682101的数据包。（此处解释 eq 换成==同样的效果）

在Filter处填写：ipsrc == 1921682101。表示获取来源地址为1921682101的数据包。

在Filter处填写:ipdst == 119167140103。表示获取目的地址为119167140103的数据包。

在Filter处填写:ipdst == 119167140103 or ipdst == 192168245。表示获取目的地址为119167140103或者192168245的数据包。（此方法举例主要说明or的用法。在or前后可以跟不同的表达式。）

在Filter处填写:ipdst == 119167140103 and ipsrc == 1921682101。表示获取目的地址为119167140103且来源地址为1921682101的数据包。（此方法举例主要说明and 的用法）

1、电脑做wifi热点，手机连上后电脑上使用wireshark抓包

该方法手机无须root，并且适用于各种有wifi功能的手机（IOS、android等）、平板等。只要电脑的无线网卡具有无线承载功能，就可以。方法如下：

1把电脑的网络做为热点

2开启wifi热点后，被测手机连接到该热点；

3启动wireshark，选择做为热点的网卡，点击start开始抓包；

4 *** 作手机，可以抓取到手机所有与网络交互的数据包，如需停止，直接点击wireshark的stop即可。

2、使用fiddler来抓取

此方法只适应于抓取>

Wireshark抓包工具使用教程以及常用抓包规则 软件推荐 楚林 3年前 (2011-12-01) 1092浏览 0[复制本文链接]Wireshark是一个非常好用的抓包工具，当我们遇到一些和网络相关的问题时，可以通过这个工具进行分析，不过要说明的是，这只是一个工具，用法是非常灵活的，所以今天讲述的内容可能无法直接帮你解决问题，但是只要你有解决问题的思路，学习用这个软件就非常有用了。Wireshark官方下载地址：/download/cn/wireshark_filters/dos/grcdoshtm )ICMP (网间控制消息协议Internet Control Message Protocol)如同名字一样， ICMP用来在主机/路由器之间传递控制信息的协议。 ICMP包可以包含诊断信息(ping, traceroute – 注意目前unix系统中的traceroute用UDP包而不是ICMP)，错误信息(网络/主机/端口 不可达 network/host/port unreachable), 信息(时间戳timestamp, 地址掩码address mask request, etc)，或控制信息 (source quench, redirect, etc) 。你可以在/assignments/icmp-parameters 中找到ICMP包的类型。尽管ICMP通常是无害的，还是有些类型的ICMP信息需要丢弃。Redirect (5), Alternate Host Address (6), Router Advertisement (9) 能用来转发通讯。Echo (8), Timestamp (13) and Address Mask Request (17) 能用来分别判断主机是否起来，本地时间 和地址掩码。注意它们是和返回的信息类别有关的。 它们自己本身是不能被利用的，但它们泄露出的信息对攻击者是有用的。ICMP消息有时也被用来作为DOS攻击的一部分(例如：洪水ping flood ping,死 ping 呵呵，有趣 ping of death)/p>包碎片注意A Note About Packet Fragmentation如果一个包的大小超过了TCP的最大段长度MSS (Maximum Segment Size) 或MTU (Maximum Transmission Unit)，能够把此包发往目的的唯一方法是把此包分片。由于包分片是正常的，它可以被利用来做恶意的攻击。因为分片的包的第一个分片包含一个包头，若没有包分片的重组功能，包过滤器不可能检测附加的包分片。典型的攻击Typical attacks involve in overlapping the packet data in which packet header is 典型的攻击Typical attacks involve in overlapping the packet data in which packet header isnormal until is it overwritten with different destination IP (or port) thereby bypassing firewall rules。包分片能作为 DOS 攻击的一部分，它可以crash older IP stacks 或涨死CPU连接能力。Netfilter/Iptables中的连接跟踪代码能自动做分片重组。它仍有弱点，可能受到饱和连接攻击，可以把CPU资源耗光。OK，到此为止，关于Wireshark抓包工具的一些小教程已经写完了，而导致我想写这么一个纠结的教程的原因是，前几天通过这个抓包解决了梦幻西游在网维大师无盘上容易掉线的问题，当时捕捉到梦幻西游掉线时的数据包是这样的。注意下图中的红色数据，12358184241是梦幻西游的服务器，而192168141是玩梦幻西游的客户机，在掉线时，发现是先有梦幻西游的服务器向客户机发送一个[FIN,ACK]数据包，根据上面的解释，FIN标记的数据包是代表要断开连接的意思，而接着客户机又回给服务器一个确认断开链接包。当看到这个抓包数据时，就意识到，大家说的在网维大师系统虚拟盘上梦幻爱掉线的问题，并非普通的网络问题，因为通过数据包的信息来看，是梦幻服务器主动要求断开链接，产生这个情况无非是以下几个原因：1、服务器发现客户端非法，比如有外挂什么的，踢掉了客户机；2、服务器压力大，踢掉了客户机；3、总之不是客户端问题导致的掉线；那么既然结论是如此，为什么会有在网维大师系统虚拟盘上容易出现梦幻掉线问题呢？原因是由于网维大师系统虚拟盘是模拟真实硬盘方式来实现的，而在模拟过程中，将硬盘的序列号设置为固定过的OSDIY888了，而梦幻西游刚好后识别客户机硬盘信息，发现大量客户端的硬盘序列号都是一样的，就认为是作弊或者使用挂机外挂了，结果就导致随机被服务器踢下线的情况发生，后来我们将硬盘序列号设置为空，则没再出现该问题。这个问题在未来的新版本中会解决掉。说这个案例的目的并不是为了说明抓包多有用，而是想说明一些解决问题的思路和方法，有些人是有思路，但是缺方法，比如不会用工具，而有些人收集了很多工具却不会用，而我其实就属于后者，几年前就收集了n多工具，但是用到的没几个。慢慢的学会用这些工具后，发现思维+工具，解决问题是效率暴增，接下来的几天里，会陆续介绍写小工具给大家，也希望大家有空学习下，有问题先百度，再自己摸索，而不是一味的求助，毕竟求人不如求己！自己能直接搞定，是皆大欢喜的事情~另外还有一些网络监视相关的小工具也非常好用，这里就在这个帖子里简单介绍一下：1、CurrPorts：这是一个可以显示系统进程联网状态的工具，他能显示哪个进程链接了哪个IP地址，哪个端口，使用的什么协议，本地端口是多少，本地IP地址是多少等等，而且他还提供了记录网络连接创建信息，点界面左上角的“文件”=》“记录变化到日志”就可以记录日志了。2、Tcpview：和CurrPorts差不多的工具。3、X-NetStat Professional：这个工具除了继承了CurrPorts的所有功能，同时还支持每个进程链接的IP地址使用的流量是多少，但是这个工具不要长时间开着，否则可能导致无盘客户机无法获得DHCP问题，只是随机出现，大家注意下就行了。这些工具都可以通过本站顶部的“小工具”链接打开工具军火库，然后在NetWork_analysis_Tools分类下就可以下载到了。

以上就是关于wireshark如何抓取别人电脑的数据包全部的内容，包括:wireshark如何抓取别人电脑的数据包、wireshark怎么抓包和解包、wireshark软件抓包数据怎么查看等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！