Wireshark -抓網路封包必備免費軟體

Wireshark是一種網路分析工具，它能夠擷取網路封包，並盡可能顯示出最為詳細的網路封包資料。本文將對Wireshark做一些基本的使用介紹。
它也為開放原始碼軟體，使用者可以免費從官方網站下載使用。更新2009.12.22AM01:25

其他下載點:
1.                

2.訊6

介紹網路上很多，大家可以上GOOGLE網站找找
我們開始先擷取封包吧

步驟一.封包擷取方式:

1.首先下載完檔案後先進行解壓縮的動作
然後打開資料夾後點選"WiresharkPortable.exe"

 2.打開程式之後，介面大致上如下圖(看不清楚可以點圖放大)

3.接下來我們點選  主選單中的Capture → Interfaces

   

    3.1點完 Interfaces之後會跳出如下圖的小視窗，這個小視窗會列出電腦裡所有的網路卡資訊。選擇想要觀察的網路卡，按下Start就開始擷取封包 。

(要選擇哪張網卡呢?仔細看看  哪個packets有再增加或者packets/s較高的，選那個就是我們要觀察的)

4.點選START之後程式會開始偵測擷取封包

5.接下來我們打開要偵測封包的網頁(如:奇摩、GOOGLE...等)，打開網頁之後,程式所偵測到的封包數會變得更多 ，這時候我們先停止Wireshark的擷取動作，執行主選單的Capture → Stop然後我們隨變點個封包來看看

(先點上面的封包>>在看下面的視窗點選"Internet protocol"把+號打開，就可以看到裡面訊息)

 步驟二.查看封包資料偷看密碼:


首先要看封包的資料
我用逢甲蒼穹BBS站的輸入帳號來舉例
1.一開始步驟一樣我就不說明，當Wireshark在擷取封包時(如下圖)我們將瀏覽器連線到逢甲蒼穹的網站    [逢甲蒼穹的網站可以換成你想要的，但是要注意一下通訊協定]

   逢甲蒼穹:telnet://140.134.4.5

2.Wireshark在擷取封包時，我們先進到逢甲蒼穹的BBS站中，然後我在"您得帳號"後面輸入ff320232，然後按enter接著會叫你輸入密碼，不過在這邊我只輸入帳號就好，密碼部分同帳號一般的擷取方式。

3.接著我們輸入完帳號之後，我們看Wireshark的部分， 先停止程式擷取封包，停止之後介面上的封包將不再增加，不過剛剛擷取的封包太多了，有太多不是我們要的，這時候可以利用Display Filter功能過濾呈現的內容，點擊Expression挑選我們要的。

4.接著會跳出如下圖的視窗，我們往下尋找TELNET，接著點OK
  (這是因為逢甲蒼穹一開始的協定為 telnet )

5.當我們要求Wireshark搜尋 telnet這個協定時，我們要點選APPLY這時候他就會幫我們把 telnet的協定都整理出來。 




6.整理出來的telnet協定大致上如下

7.接著我們往下找每一個封包，其中會有一個封包的telnet會顯示"data"，注意看data的值是我剛剛輸入ff320232的 f ，我們在往下找，發現每隔一個封包就是我剛剛輸入的值

為什麼每隔一個封包才有我輸入得值呢? 想想看吧!

8.但這樣我們要看到我們剛剛輸入的密碼還是很難，不過Wireshark有提供我們另一項設計，Wireshark可以節錄整理串流訊息，在相關的封包上面按右鍵 點Follow TCP Stream

9.點完之後會跳出一個視窗，這時候還是看不太懂它顯示的訊息是什麼，簡單說明一下，紅色字是我們發送的data，藍色字是我們接收的data ，而...因為是指定所以顯示不出來，但這樣的訊息對我們來說還是太混亂了，所以接著往下看

 10.我們必須將上方的訊息做一下整理，所以我們在下面選擇我們的IP，這樣它就會將訊息過濾成我們傳送的訊息

11最後剛剛打的帳號就被顯示出來了