wireshark 开始抓包

开始界面

wireshark是捕获机器上的某一块网卡的网络包，当你的计算机系统内配置了多个网络接口设备时，你需要挑选一个合适的网络接口卡。

点击Caputre->Interfaces.. 将会呈现一个对话框，请挑选合适的网络适配器。然后点击"Start"按钮, 开始抓包

Wireshark 窗口介绍

WireShark 主要可以划分为以下几个界面

• 1. Display Filter(应用过滤器进行筛选)， 用于过滤

• 2. Packet List Pane(封包列表)， 展示捕获的已封装数据， 请提供您想要修改的句子，我会帮您进行字数提升10%到50%之间的改写，端口号。 颜色不同，代表

• 3. Packet Details Pane(数据包的详细资料), 展示数据包中所包含的具体信息项

• 4. Dissector Pane(16进制数据)

• 5. Miscellanous(地址栏，杂项)

进行过滤操作是极其关键的， 初学者使用wireshark时，将会面临海量冗余信息的困扰，在成千上万甚至数以万计的记录之中，因此，极难寻获你所期望的具体内容。感到非常困惑和迷茫。

过滤器能够有效地协助我们在海量数据中进行检索，从而快速定位并获取所需信息。

过滤器存在两种类型，

一种为应用过滤器进行筛选，在主界面上，就是那个，用于在捕获的记录集合中识别并检索所需的特定记录

其中一种过滤器类型是捕获过滤器，用于筛选并捕获的已传输数据包，为了避免获取过多的数据记录。 在Capture -> Capture Filters 中设置

保存过滤

在Filter栏上，填好Filter的表达式后，点击Save按钮， 取个名字。比如"Filter 102",

Filter栏上就多了个"Filter 102" 的按钮。

过滤条件的规范

表达式的规则规范

1. 协议过滤

比如TCP，只显示TCP协议。

2. IP 过滤

比如 ip.src ==192.168.1.102 标示出源头地址为192.168.1.102，

ip.dst==192.168.1.102, 以目标地址为192.168.1.102

3. 端口过滤

tcp.port ==80, 以80为端口号的

tcp.srcport == 80, 只显示TCP协议的愿以80为端口号的。

4. Http模式过滤

http.request.method=="GET", 只显示HTTP GET方法的。

5. 逻辑运算符是指用于组合或对布尔值（真或假）进行操作的运算符 AND/ OR

经常使用的筛选查询条件

过滤条件	用途
http	只查看HTTP协议的记录
ip.src ==192.168.1.102 or ip.dst==192.168.1.102	源地址或目标地址是192.168.1.102

​

封包列表(Packet List Pane)

在数据包列表的面板区域中展示，编号，时间戳，源地址，目标地址，协议，长度，以及数据包的具体内容。 您能够观察到，不同的协议是通过使用不同的颜色来进行区分和展示的。

你也可以调整这些关于显示颜色的规则设定， View ->Coloring Rules.

数据包的详细资料 (Packet Details Pane)

这个面板在我们所有设备中占据着核心地位，用于检查协议中各个特定字段的信息。

各条信息的内容分别为

Frame: 物理层数据帧的结构概述

Ethernet II: 以太网帧头部的数据链路层信息

Internet Protocol Version 4: 互联网层IP包头部信息

Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP

Hypertext Transfer Protocol: 应用层面的数据信息，此处是HTTP协议

TCP包的具体内容

从下图可以看到wireshark捕获到的TCP包中的每个字段。

看到这， 基本上对wireshak有了初步了解， 现在我们看一个TCP三次握手的实例

三次握手的过程是

这张图片我已经看过很多次了， 这次我们用wireshark实际分析下三次握手的过程。

打开wireshark, 启动网络浏览器并在地址栏中键入 http://www.clicksun.cn

在wireshark中输入http过滤， 然后选中GET /tankxiao HTTP/1.1关于那条记录，右键然后点击"Follow TCP Stream",

这样做的目的是为了获取与浏览器访问网站相关的数据包信息，基于所提供的图像

图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的， 这说明HTTP的确是使用TCP建立连接的。

初次建立连接时的数据包

客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端发起建立连接的请求。 如下图

在第二次握手阶段所传输的数据包

服务器响应了确认数据包, 标志位为 SYN,ACK. 确认相应的序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

第三次通信过程中交换的信息包

客户端再次向服务器发送了确认数据包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,在已确认的字段信息中发送给对方.并且在数据段放写ISN的+1, 如下图:

就这样通过了TCP三次握手，已经建立起相应的连接

Wireshark是世界上最重要的网络协议分析仪，已成为众多行业普遍采用的标准。这个软件，从1998年起一直持续至今。

该协议具备的一项显著特征在于其包含了数百层的深度检测机制，增加了更多的时间，即时获取并事后进行深入探究，配备三窗格布局的浏览器，可以通过一个GUI浏览捕捉网络数据，或通过TTY模式的tshark的效用，并丰富的VoIP分析。

​

阅读原文：https://mp.weixin.qq.com/s/bnQqYFoWJXhXfClqgidAfg