开启掘金成长之旅！这是我参与「掘金日新计划 · 12 月更文挑战」的第七天，点击查看活动详情

实践教你学习wireshark(二)

网络接口

往往一台机器会有很多网络接口,在捕获数据包之前,wireshark需要你先选择捕获哪一个接口的数据,所以我们在使用时要先了解一下接口种类及如何去选择正确的网络接口.

wireshark其实支持三种类型的接口,分别是本地接口、管道接口和远程接口。用户通过指定不同类型的接口，可以捕获不同设备的数据包。我们可以在Wireshark的菜单栏中依次选择“捕获”|“选项”命令，打开“捕获接口”对话框

在上图我们可以看到本地接口,"本地接口"选项卡显示扫描到的所有本地接口.也就是我们所有的接口加上usb

我们也可以看到管理接口可以显示wireshark开始页显示的接口,这里我们就可以进行筛选及过滤掉我们可能不怎么会用到的接口,防止干扰,基本上刚使用wireshark的小白来说,我们主要用到的也就只有有线和无线,其他暂时不需要用到,所以可以改成我下面这样

管道接口就是通过使用管道的方式，将一个工具输出的数据发送给Wireshark，进而捕获到对应的数据包。例如，如果用户所在的位置不能使用Wireshark捕获数据，可以借助其他命令行（如tcpdump和dumpcap等）工具来捕获数据包。然后使用管道接口方式，将捕获到的数据发送给Wireshark。

远程接口是指远程客户端通过网络将数据传递给本地接口。用户只要在远程主机上安装相应的rpcapd服务，就可以实现在本地计算机上执行Wireshark，捕获远程计算机的流量。

开始界面共包括6部分，这里分别以编号形式对每部分进行标记。每部分的含义如下： ①标题栏：用于显示文件名称和捕获的设备名称

②菜单栏：Wireshark的标准菜单栏。

③工具栏：常用功能快捷图标按钮。

④显示过滤区域：减少查看数据的复杂度。

⑤捕获过滤区域：减少捕获数据的复杂度。

⑥本地接口列表：选择捕获接口。

2. 双击后,我们就可以看到wireshark的抓包情况

上图则表示正在捕获数据包。捕获到的数据包将以3种模式呈现给用户，分别是分组列表、分组详情和分组字节流。用户从标题栏中可以看到，正在捕获以太网接口的数据包。当用户不想要再捕获包的话，单击工具栏中的停止捕获分组按钮 ,将停止捕获数据包。如果想要重新捕获当前接口的数据包，则可以单击工具栏中的重新开始当前捕获按钮。之后，用户即可对捕获的数据包进行分析了。如果我们想取消此次捕捉则需要先停止捕捉,然后再点击,则会弹出以下弹窗

如果你要保存数据就点击save即可不保存则点击"继续不保存"