001互联网网络技术之Wireshark的简易使用

wireshark是非常流行的网络封包分析软件，且是开源的，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。可以运行在Windows和Mac OS上。

过滤命令

1. 过滤源ip、目的ip。在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包，ip.dst==192.168.101.8；查找源地址为ip.src==1.1.1.1；
   ip.addr == 202.34.12.3
2. 端口过滤。如过滤80端口，在Filter中输入，tcp.port==80，这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的，tcp.srcport==80只过滤源端口为80的包；
3. 协议过滤比较简单，直接在Filter框中直接输入协议名即可，如过滤HTTP的协议；
4. http模式过滤。如过滤get包，http.request.method=="GET",过滤post包，http.request.method=="POST"；
5. 连接符and的使用。过滤两种条件时，使用and连接，如过滤ip为192.168.101.8并且为http协议的，ip.src==192.168.101.8 and http。

逻辑命令

命令之间可以使用 逻辑操作符 && || ！等组合成新的命令。

色彩标识:

进行到这里已经看到报文以绿色，蓝色，黑色显示出来。Wireshark通过颜色让各种流量的报文一目了然。比如默认绿色是TCP报文，深蓝色是DNS，浅蓝是UDP，黑色标识出有问题的TCP报文——比如乱序报文。

Wireshark VS Fiddler

Fiddler是在windows上运行的程序，专门用来捕获HTTP，HTTPS的。

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容

总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark

wireshark与对应的OSI七层模型

001_1.png

参考链接

1. wireshark官方下载链接
2. Wireshark基本介绍和学习TCP三次握手