Wireshark 基本使用及简介

wireshark是个神器，可惜的是
wireshark只能查看封包，而不能修改封包的内容，或者发送封包

首先打开 Wireshark , 界面如下：

选择要监听的设备后，得到如下界面

WireShark 主要分为这几个界面

1. Display Filter(显示过滤器)，  用于过滤

2. Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表

3. Packet Details Pane(封包详细信息), 显示封包中的字段

4. Dissector Pane(16进制数据)

5. Miscellanous(地址栏，杂项)

Wireshark 过滤

一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录

一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。

显示过滤很简单 ，采用选择好的协议

当然也可以自己添加规则

常见表达式规则示例

1. 协议过滤

比如TCP，只显示TCP协议。

2. IP 过滤

比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102，

ip.dst==192.168.1.102, 目标地址为192.168.1.102

3. 端口过滤

tcp.port ==80,  端口为80的

tcp.srcport == 80,  只显示TCP协议的原端口为80的。

4. Http模式过滤

http.request.method=="GET",   只显示HTTP GET方法的。

5. 逻辑运算符为 AND/ OR

封包的详细信息 (Packet Details Pane)

这个面板是我们最重要的，用来查看协议中的每一个字段。

头部	作用
Frame	物理层的数据帧概况
Ethernet II	数据链路层以太网帧头部信息
Internet Protocol Version 4 （ipv4）	互联网层IP包头部信息
Transmission Control Protocol （tcp）	传输层的数据段头部信息
Hypertext Transfer Protocol （http）	应用层的信息
Secure Sockets Layer （ssl）	安全套接层信息

当具体打开某一层协议时 ，可看到

可具体对比该协议的报文，得出value

基本使用方式就是如此，wireshark在不同的硬件设备上 都可以设置监视 ，十分强大 。