mac安装并使用wireshark

1 介绍

我们在日常开发过程中，遇到了棘手的问题时，免不了查看具体网络请求情况，这个时候就需要用到抓包工具。比较著名的抓包工具就属：wireshark、fildder。我这里主要介绍wireshark。

2 安装

以mac安装为例。

去官网下载对应的mac版本即可。(注意观察自己的芯片是intel的还是Apple的)
https://www.wireshark.org/download.html
下载好之后，直接双击.dmg，然后拖动安装即可。
安装成功后，来到应用程序，双击wireshark图标即可。

如果发现双击之后wireshark报错：

表明wireshark没有对应的网卡权限来抓取网卡对应的流量情况。
执行如下命令，然后重新打开wireshark即可。
sudo chmod 777 /dev/bpf*

3 使用

3.1 判断网卡

如果我们的电脑有多张网卡，如何判断自己该监控哪张网卡呢？

方法一：ifconfig查看ip所属的网卡名，然后在wireshark上点击监控即可
方法二：将鼠标移到wireshark页面所展示的网卡名，wireshark会自动显示ip地址，然后选择我们要监控ip所在的网卡即可

3.2 过滤IP（源或目标）

①ip.src eq 192.168.1.145 or ip.dst eq 192.168.1.145

或者ip.addr eq 192.168.1.145

直接使用 ip.addr == 192.168.1.145也行

在这里插入图片描述

提示：在Filter编辑框中，收入过虑规则时，如果语法有误，框会显红色，如正确，会是绿色。

②ip.src == 192.168.1.145

3.3 过滤端口

①tcp.port == 80（不管源或目标）

tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80

②tcp.dstport == 80（只显示tcp协议的目标端口为80的）

在这里插入图片描述

③udp.port == 1500

④tcp.port >= 1 and tcp.port <= 80

3.4 过滤协议

例子:
tcp
udp
smb
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
oicq
bootp
等等

①tcp（筛选tcp协议）

在这里插入图片描述

②not arp（排除arp协议）

或者!arp

3.5 过滤MAC

①eth.dst == A0:00:00:04:C5:84 过滤目标mac

②eth.src == A0:00:00:04:C5:84 过滤来源mac

eth.src eq A0:00:00:04:C5:84 // 过滤来源mac
eth.dst == A0:00:00:04:C5:84
eth.dst == A0-00-00-04-C5-84
eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的
less than 小于 < lt
小于等于 le
等于 eq
大于 gt
大于等于 ge
不等 ne