ubuntu下如何使用wireshark抓包，保姆级教程

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

打开终端，输入安装命令，在下载完成后需要选择yes回车同意协议，然后就会开始安装，安装过程很快。

输入命令回车，一定要加上sudo，才有管理员权限。

启动后界面如下，可以看到是使用Qt开发的界面，顶端从上至下是标题栏、菜单栏、工具栏和过滤栏。下面是选择接口作为过滤器，左侧是所有接口名称，右侧是接口数据量大小。比如我需要从以太网口和其他主机进行网络通信，所以选择enpls0，然后点击左上角鲨鱼鳍的图标，开始抓包。

1、下面是抓包一段时间后的结果，可以看到有很多UDP、ARP、ICMP协议的网络报文。

2、我们看到在数据列表中不断地显示从以太网口抓取到的报文，列表属性分别为：

| 编号| 时间戳 |源地址|目的地址|协议|长度|信息|

3、在数据列表区下面是数据详情区。 在数据包列表中选择任一数据包，在数据详情区中会显示数据包的所有详细信息。数据详情区是最重要的，用来查看协议中的每一个字段。各行信息分别为：

Frame: 物理层的数据帧概况

Ethernet II: 数据链路层以太网帧头部信息

Internet Protocol Version 4: 互联网层IP包头部信息

User Datagram Protocol: 传输层的数据段头部信息，此处是UDP

Data: 报文的数据位，展开可以看到内容

4、紧接着是数据字节区，数据字节区左侧是1个字节1个字节地显示，每个字节用2个16进制数表示。右侧是16进制对应的10进制数字对应的ASCLL字符。右下角是数据统计区，表示捕获到n个分组，显示x个分组，丢弃n-x个分组。

5、数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏的视图——>着色规则。

6、过滤规则可以说是wireshark的精髓，必须得掌握。在数据报文很多的时候，或者多机通信的时候，你需要用过滤规则保留下你需要的报文。

所有工程都离不开网络通信