Wireshark使用教程

1.Wireshark简介

wireshark是一款网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。 为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

基本的使用方法是：选择网卡--捕获网络封包--使用过滤器--获得需要的网络封包并保存—分析网络封包

下载地址：https://www.wireshark.org/#download>

2.使用方法

开始界面

Wireshark捕获的是机器上某一块网卡的网络包，当机器上有多块网卡的时候，需要选择一个网卡。 开始界面可以直接选择网卡，或者在<捕获--选项>选择网卡。

点击开始，开始捕获网络封包

使用显示过滤器，筛选出自己需要的封包并保存。

3.Wireshark界面主要组成

（1）Display Filter(显示过滤器)，用于过滤

过滤器：帮助我们在大量的网络封包中快速找到我们所需要的。分为两种：一种是捕获过滤器，只获取需要的封包，多虑掉不要的结果。捕获过滤器可以在<捕获—捕获过滤器>中设置。另一种是显示过滤器，获取封包后，在封包列表只显示需要的封包。

（2）Packet List Pane(封包列表)，显示捕获到的封包， 有源地址和目标地址，端口号。

封包列表的面板中显示：编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。不同的协议采用不同的颜色显示。颜色可以在<视图—颜色规则>中设置。

（3）Packet Details Pane(封包详细信息), 显示封包中的字段

封包详细信息：这部分的信息是最重要的，可以查看协议中的每一个字段。
        Frame: 物理层的数据帧概况
        Ethernet II: 数据链路层以太网帧头部信息
        Internet Protocol Version 4: 互联网层IP包头部信息
        Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP
        Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议

（4）Dissector Pane(16进制数据)

（5）Miscellanous(状态栏)

4.常用过滤规则