wireshark抓包工具入门详解

抓包环境：本地抓包

                交换机环境抓包：端口镜像（正规方法，配置交换机端口镜像）

                                           arp欺骗

                                           mac泛洪

wireshark简介（这里用的版本为2.2.1，其他版本界面可能有所不同）

基本抓包步骤：

1. 菜单栏选择捕获

2. 选择网卡及编辑过滤器

3. 开始抓包

显示界面设置之字体大小

显示界面设置之列

增加列

修改&&删除列（右击列明可修改和删除列）

显示界面设置之时间格式

显示界面设置之名字解析（默认只解析物理地址，可勾选网络地址和传输层地址，流量大的情况影响系统性能）

可通过：统计 ---->已解析的地址  查看和编辑地址解析

显示界面设置之着色规则

进入规则设置可自定义配置各协议和数据包状态颜色

数据包操作之标记/高亮数据包

数据包操作之注释数据包

注释之后会在数据包详情之中显示注释

数据包操作之合并数据包

选择之前保存抓到的数据包进行合

数据包操作之打印数据包

数据包操作之导出数据包

首选项设置

抓包选项设置

输出处可以设置多包保存，可以按存储文件大小或者抓包时间自动生成文件

抓包过滤器

语法说明

类型	host，port，net
方向	dst，src
协议	ip，tcp，udp，http，ftp，ether，icmp.......等
逻辑运算符	&&，||，！...等

例： src host 192.168.1.1 && dst port 80  源地址为192.168.1.1并且目的端口为80

        host 192.168.1.1 || host 192.168.1.2   主机192.168.1.1或者主机192.168.1.2

        ! broadcast 非广播地址

显示过滤器

比较操作符	==,！=, < , >, <=, >=
逻辑操作符	and,  or, not, xor
IP地址过滤	ip.addr, ip.src, ip.dst
端口过滤	tcp.port, tcp.srcport, tcp.dstport, tcp.flag.syn, tcp.flag.ack....等
协议过滤	tcp, udp, http, ftp, arp, dns, icmp...等

例：ip.addr == 192.168.1.1 and tcp.port == 80

       ip.src == 192.168.1.1 and tcp.dstport == 80

wireshark之数据流追踪

把tcp udp等数据片整合一起展示

wireshark之专家信息说明

wireshark之统计摘要说明

协议分层统计（通过协议比例判断网络是否有异常）

网络节点和会话统计

网络节点：统计会话中每个节点接收和发送的数据包和字节数（找出哪个节点带宽高）

网络会话：统计会话直接接收和发送的数据包和字节数（可以找出哪个会话占用的带宽高）

数据包长度统计

统计数据流量中包长度的分布（通过数据包大小占比可以判断会话是否有异常）

IO图表

对网络中的吞吐流量进行实时显示（网卡数据包/秒）

数据流量图表

将会话通信过程图形可视化出来（可以图形化过滤之后的数据包）