Wireshark 基本介绍

Wireshark是一款广受好评的网络数据包分析工具，功能强大，能够捕获并详细展示各类网络数据包信息。

1、 Wireshark是一款网络协议分析工具。

2、 网络管理员常用Wireshark排查网络故障。

3、 软件测试工程师可通过Wireshark抓包，分析所测软件的数据传输情况，以便发现潜在问题。

4、 从事Socket编程的工程师常用Wireshark进行调试，分析网络数据包，定位问题根源。

5、 据说，华为和中兴的多数工程师都会使用wireshark。

6、 与网络相关的内容，都有可能用到Wireshark。

7、 Wireshark无法实现的功能

8、 出于安全原因，Wireshark仅可用于查看数据包，无法修改内容或发送数据包。

9、 启动 Wireshark 开始数据包捕获。

10、 Wireshark可用于捕获机器上指定网卡的网络数据包。如果您的设备有多块网卡，请选择其中之一进行捕获。

11、 点击Capture->Interfaces，弹出对话框后，选择正确的网卡，再点击Start按钮，开始捕获数据包。

12、 Wireshark窗口功能概述

13、 WireShark 主要由以下几个界面组成：

14、 显示过滤器（Display Filter），用于筛选数据包。

15、 封包列表面板显示捕获的封包信息，包括源地址、目标地址及端口号等详细内容。

16、 封包详细信息窗格，用于显示封包中的各个字段内容。

17、 解码器窗口（16进制数据）显示具体信息内容。

18、 地址栏及其他杂项功能汇总

19、 Wireshark数据包筛选显示

20、 过滤的使用至关重要，初学者在使用Wireshark时会面临大量冗余数据，几万条记录中难以定位所需内容，极易感到困惑和无从下手。

21、 过滤器能助我们从海量数据里快速定位所需信息。

22、 滤波器分为两种

23、 一种是显示过滤器，位于主界面，用于在已捕获的记录中查找所需记录。

24、 一种是捕获过滤器，用于筛选捕获的数据包，避免记录过多。可在Capture -> Capture Filters中设置。

25、 保留筛选条件

26、 在Filter栏填写表达式后，点击Save按钮并命名，例如Filter 102。

27、 筛选条件的规则

28、 公式书写规范

29、 过滤协议

30、 例如，仅展示TCP协议相关的数据。

31、 2. 网络协议过滤

32、 例如，ip.src == 192.168.1.102，表示源地址为192.168.1.102的数据包。

33、 目标地址是192.168.1.102，表示数据包的目的地为该IP地址。

34、 端口筛选功能

35、 端口80的TCP流量

36、 仅显示TCP协议中源端口为80的数据包。

37、 HTTP模式过滤

38、 仅显示http.request.method为GET的请求，即只呈现使用HTTP GET方法的相关内容。

39、 逻辑运算符包括AND和OR。

40、 日常使用的过滤条件

41、 数据包列表面板（Packet List Pane）显示捕获的数据包摘要信息。

42、 封包列表面板显示编号、时间戳、源地址、目标地址、协议、长度和信息。不同协议以颜色区分展示。

43、 你也能更改显示颜色的规则，路径为：查看（View）->着色规则（Coloring Rules）。

44、 数据包详细信息窗口展示了捕获数据包的具体内容和结构。

45、 姓名、电话、地址、邮箱

46、 物理层数据帧的基本情况概述如下：

47、 以太网帧头部：数据链路层中Ethernet II帧的头部信息结构如下。

48、 IPv4：网络层中IP数据包的头部信息包含关键的互联网协议数据。

49、 传输控制协议：这是传输层T的数据段头部信息，协议名为TCP。