WireShark的下载安装以及简单的使用方法这里就不赘述,可以参考:
https://blog.csdn.net/weixin_45054982/article/details/123257808?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522168757263816800227493487%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=168757263816800227493487&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~top_click~default-2-123257808-null-null.142%5Ev88%5Einsert_down1,239%5Ev2%5Einsert_chatgpt&utm_term=wireshark%E4%B8%8B%E8%BD%BD%E5%AE%89%E8%A3%85&spm=1018.2226.3001.4187首先每个软件是通过计算机分配给它的端口进行网络通信的,如果直接使用WireShark进行抓包,它会抓取所有的端口的数据包,若要提取某个软件的数据包,就要知道其使用的端口号,再利用WireShark的过滤器将进行筛选,便可以得到想要的结果。
1、要查端口号,需先查应用进程PID号,查PID号有两种方法。
1)一是通过任务管理器查看,直接在桌面搜索“任务管理器”并打开,如图1
然后点击详细信息,便可查到应用对应的PID,如图2。以网易云音乐为例,其PID号是9412,有时候,一个应用会使用好几个PID号,如svchost。
2)另一种方法就是命令行的方式,按win+R键打开windows命令行窗口,输入命令 tasklist | findstr "软件名称",然后按回车,便可查找软件的所有进程PID。比如网易云,就可以输tasklist | findstr "cloudmusic",可以发现其有4个端口号,如图3所示。
2、继续在命令行窗口输入netstat -ano | findstr "PID",依次查询每个PID进行对应的端口号,由图4可以看到只有PID为27352的进程使用了端口,端口号如图红框所圈,分别是21868、3068、14031、21862、21869。端口号前面的便是本机地址,我的本机地址是10.22.25.74。
3、查到端口号之后,返回wireshark,在过滤器窗口输入本机ip地址和找到的端口号(端口号前面的便是本机地址,如图4所示,我的本机地址是10.22.25.74。),格式如下:(ip.addr == 10.22.25.74) and (tcp.port == 21868 || tcp.port == 3068 || tcp.port ==14031 || tcp.port == 21862 || tcp.port ==21869),按回车便可提取对应软件的网络数据包,如图5所示
