我用wireshark抓了一个包，不知道怎么看

Posted 2023-05-02

像上图中的蓝色部分是不是以太网帧头？下图中蓝色是ip数据报？
虽然自己觉得不是，但是它直接帮我把蓝色部分圈出来了。

以太网帧头：目的mac+源mac+报文类型。对应ip包而言，报文类型是0800，所以0800是以太网帧头的结尾部分
IP报文头：大部分都是以4500开头的，4表示ipv4版本，5表示IP头长度是5个LW（20bytes），00是用来表示报文优先级的。可以通过找4500来确定ip头的起始位置
http协议报文的每一行要以回车和换行结束，回车和换行缓存ASCII码就是0d0a，所以可以通过0d0a来判断这是一行http内容的结尾。
楼主贴出的报文内容已0d0a结尾，应该是属于http内容。
要想查看以太网帧头和ip头的话，应该去更前面的报文内容中找 参考技术A 你要是排查网络故障，不是看这些。要看你抓包的协议类型，数据是否正常。以太网的帧头就是源目MAC地址，直接在上面能看出来的，何必要看这些蓝色的部分，你这图没有截完全。
网上有wireshark的教程。
你是不是想看别人到底在上网干什么？这是隐私，劝你还是不要想多的好。追问

不是，我在学tcp ip协议族，例子里面有让你抓包分析ip数据报的组成

追答

哦，那你看上面的部分就好了，不用看这些加密的数据的。

参考技术B 一般知名端口都会自动解析出来的，否则用菜单项里的decode as...，选择合适的协议解释。如果是私有协议，那就自己写解析扩展，用lua写扩展还是很方便的

wireshark如何抓取别人电脑的数据包

1、在电脑中，打开wireshark软件。

2、点击抓取网络接口卡选择按钮，选择需要抓取的网卡接口；如果不确定是那个网络接口，则可以看packes项数据变化最多接口，选中它然后点击"start"开始抓包。

3、如果需要进行特别的配置，则需要先进行抓包钱的配置操作，点击途中的配置操作按钮，进入到抓包配置操作界面，进行相应配置；配置完成后点击“start”开始抓包。

4、开始抓包后，可以看到各通过该网络接口的数据报文被抓取到，如果想要只看自己关心的数据包，则可以在"Filter"栏中输入过滤条件即可；过滤条件有多种，具体可以通过百度搜索"wireshark包过滤条件"进行查找。

5、如果没有抓取到想要的数据包，则点击重新抓取按钮即可；或者抓取到个人需要的数据包之后，可以点击红色的停止按钮即可。

参考技术A 抓取别人的数据包有几种办法，第一种是你和别人共同使用的那个交换机有镜像端口的功能，这样你就可以把交换机上任意一个人的数据端口做镜像，然后你在镜像端口上插根网线连到你的网卡上，你就可以抓取别人的数据了；第二种，把你们局域网的交换机换成一个集线器，这样的换所有的数据包都是通发的，也就是说，不管是谁的数据包都会路过这个集线器上的每一个计算机，只要你将网卡设置为混杂模式就能抓到别人的包；第三种，利用MAC地址欺骗，在局域网内发送ARP包，使其他计算机都误以为你是网关，这样的话，其他计算机都会将它们的数据包发送到你这里，你就可以抓到它们的包了，不过如果你用这种方法，建议还是自己写个程序比较好，现在很多无良工具都是截获别人的数据请求不转发，最好转发一下，这样其它计算机就不会发现你在做MAC欺骗了；第四种，如果你们是共用一个ADSL猫上网的话，有条件的情况下，你还可以给自己的电脑安装两个网卡，一个网卡接猫，一个接交换机，然后把接猫的网卡共享，这里接猫的网卡的IP设置为192.168.1.1，让这个网卡做网关，别的电脑都通过这个网卡上网，所以你可以轻易的在这个网卡上捕获别的电脑的数据包。上述四种方法仅作为技术研究在此讨论。 参考技术B wireshark 抓包是对整个网卡而言的，无法对相应的应用程序进行抓包，但你可以通过分析你的程序进行过滤，比如我要抓浏览器的包，在抓好的包里进行 HTTP 过滤就可以看到类似的，再根据自己的请求判断自己抓的哪个包，当然也可以用360，qq的大师什么的，监控这个程序所使用的TCP流，找到再 wireshark 包里过滤即可。 参考技术C 最简单的用集线器：使用hub连接局域网，在wireshark里面设置抓包规则就可以抓包了。 参考技术D

前提是你能有一个叫网络流量复制器的设备，并且能找到连接他电脑的那根网线！

把你的电脑网线连到网络流量复制器的流量复制输出端口。

把他电脑的那根网线连到网络流量复制器的串接端口1。

把网络流量复制器的串接端口2连接到原来的交换机上。

用你自己的电脑打开wireshark软件，即可实现抓取，原理图如下：

参考链接：如何用wireshark抓取两个路由器之间的数据包