1. 安裝Wireshark(過程中會自動安裝WinCAP)
2. 進入Wireshark主程式後,點選Capture->Interface,然後在網卡的後面點選Option
3. 出現如上圖的視窗之後,
- 請正確設定你的網路卡( Interface)。
- Stop Capture可以設定停止抓取封包的條件。
- Capture Filter部分是重點,在此略過。
- 其他選項按照預設值即可,有興趣的同學可以玩玩看。
4.開始抓封包 後,會出現一個統計封包種類與數量的小視窗可供參考。選擇Capture -> Stop即可停止抓封包 。
5. 瀏覽封包內容後要存檔,請選File->Print,出現如下視窗。
Capture Filter設定:
1. 點選 Capture-> Interface -> Option -> Capture Filter後 ,可設定你想要的capture filter。
( 例如:要以 MAC address 00:00:11:11:22:22 為抓封包條件 )
- FIlter name:任意取,在此設為MAC_FILTER。
- Filter string:請輸入ether host 00:00:11:11:22:22
- 再按 NEW之後,可讓你的MAC_FILTER出現在上方的名單中。
- 確定你的 filter string正確之後,按OK跳出,就可看到Filter欄已設定。
(例如要以IP address 11.22.33.44以及TELNET為封包的filter) - Filter string: ip host 11.22.33.44 and tcp port 23
- *如需看Data Link層的packet,請勿加ip關鍵字
2. Filter name選擇無法一次選兩個,所以要使用多重條件,請使用邏輯符號:
- 否定條件 ( `!' 或 `not' ) 。
- 交集條件( `&&' 或 `and' )。
- 聯集條件( `||' 或 `or' )。
3. 另外還有一堆符號可用,包括 =,>=,+,&, ﹍ 等等。本實驗的filter條件比較簡單,故請有興趣研究語法的同學自行參考 tcpdump 使用說明。
Display Filter設定:
1. 若不想設定Capture filter,則所有出現在你網卡上的封包,都會被抓進來,此時可利用Display filter進行篩選。
2. 主視窗左下方的Filter按鈕,就是設定Display filter的地方,進入之後選擇Add expression,即有相當易操作的界面可使用,且部分與Capture filter之設定雷同,請同學自行操作。