wireshark抓包詳細圖文教程

wireshark是非常流行的網絡封包分析軟件，功能十分強大。可以截取各種網絡封包，顯示網絡封包的詳細資訊。使用wireshark的人必須瞭解網絡協議，否則就看不懂wireshark了。爲了安全考慮，wireshark只能檢視封包，而不能修改封包的內容，或者發送封包。
wireshark能獲取HTTP，也能獲取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的內容，總結，如果是處理HTTP,HTTPS 還是用Fiddler, 其他協議比如TCP,UDP 就用wireshark.

操作方法

（01）wireshark 開始抓包開始介面

（02）wireshark是捕獲機器上的某一塊網卡的網絡包，當你的機器上有多塊網卡的時候，你需要選擇一個網卡。點擊Caputre->Interfaces.. 出現下面對話框，選擇正確的網卡。然後點擊"Start"按鈕, 開始抓包

（03）Wireshark 視窗介紹

（04）WireShark 主要分爲這幾個介面1. Display Filter(顯示過濾器)，用於過濾2. Packet List Pane(封包列表)，顯示捕獲到的封包，有源地址和目標地址，端口號。顏色不同，代表3. Packet Details Pane(封包詳細資訊), 顯示封包中的字段4. Dissector Pane(16進制數據)5. Miscellanous(地址欄，雜項)第 2 頁 Wireshark 顯示過濾

（05）使用過濾是非常重要的，初學者使用wireshark時，將會得到大量的冗餘資訊，在幾千甚至幾萬條記錄中，以至於很難找到自己需要的部分。搞得暈頭轉向。過濾器會幫助我們在大量的數據中迅速找到我們需要的資訊。過濾器有兩種，一種是顯示過濾器，就是主介面上那個，用來在捕獲的記錄中找到所需要的記錄一種是捕獲過濾器，用來過濾捕獲的封包，以免捕獲太多的記錄。在Capture -> Capture Filters 中設定儲存過濾在Filter欄上，填好Filter的表達式後，點擊Save按鈕，取個名字。比如"Filter 102",

（06）Filter欄上就多了個"Filter 102" 的按鈕。

（07）過濾表達式的規則表達式規則1. 協議過濾比如TCP，只顯示TCP協議。2. IP 過濾比如 ip.src ==192.168.1.102 顯示源地址爲192.168.1.102，ip.dst==192.168.1.102, 目標地址爲192.168.1.1023. 端口過濾tcp.port ==80, 端口爲80的tcp.srcport == 80, 只顯示TCP協議的願端口爲80的。4. Http模式過濾http.request.method=="GET", 只顯示HTTP GET方法的。5. 邏輯運算符爲 AND/ OR封包列表(Packet List Pane)封包列表的面板中顯示，編號，時間戳，源地址，目標地址，協議，長度，以及封包資訊。你可以看到不同的協議用了不同的顏色顯示。你也可以修改這些顯示顏色的規則， View ->Coloring Rules.

（08）封包詳細資訊 (Packet Details Pane)這個面板是我們最重要的，用來檢視協議中的每一個字段。各行資訊分別爲Frame: 物理層的數據幀概況Ethernet II: 數據鏈路層以太網幀頭部資訊Internet Protocol Version 4: 互聯網層IP包頭部資訊Transmission Control Protocol: 傳輸層T的數據段頭部資訊，此處是TCPHypertext Transfer Protocol: 應用層的資訊，此處是HTTP協議第 3 頁 wireshark與對應的OSI七層模型

（09）TCP包的具體內容從下圖可以看到wireshark捕獲到的TCP包中的每個字段。

（10）第 4 頁實例分析TCP三次握手過程看到這，基本上對wireshak有了初步瞭解，現在我們看一個TCP三次握手的實例三次握手過程爲

（11）這圖我都看過很多遍了，這次我們用wireshark實際分析下三次握手的過程。開啟wireshark, 開啟瀏覽器輸入 http://www.cr173.com在wireshark中輸入http過濾，然後選中GET /tankxiao HTTP/1.1的那條記錄，右鍵然後點擊"Follow TCP Stream",這樣做的目的是爲了得到與瀏覽器開啟網站相關的數據包，將得到如下圖