wireshark使用教程

文章来源：https://blog.csdn.net/qq_30682027/article/details/83021901

文章目录
1. 安装
2. 使用技巧
2.1. 捕获过滤器表达式
2.2. 开始捕获
2.3. 捕获结果
2.3.1. 着色规则
2.3.2. 数据包的大致结构
2.3.3. 示例
2.3.3.1. 三次握手
2.3.3.2. 四次挥手
2.3.3.3. tcp/ip数据包
2.3.3.4. 使用实例

以wireshark 2.6.3 汉化版为例
1. 安装
除了路径是自定义之外，其它均默认即可。

2. 使用技巧
1、点击每一行时，wireshark很智能的在记录前用标线表明了本次会话的记录范围[从三次握手到四次挥手]

2、http请求是“请求->响应”式的，需要查看对应请求的响应时，可以在包上右键，选择“追踪流（Follow TCP Stream）”

3、错误包的产生与解决办法：参考Wireshark抓包时显示TCP校验和错误（checksum incorrect）

在Windows平台上用Ethereal抓包时发现TCP校验和错误，
但应用层的反应告诉我，这个报文的TCP校验和没问题。
 
A: 2000-03
 
网卡配置->高级->Rx Checksum Offload/Tx Checksum Offload，
很可能你的这两处设置是Enable，将之调整成Disable即可，代价是网络性能降低。
 
一般由操作系统的TCP/IP协议栈完成TCP/UDP/IP校验和的计算工作，
这两处设置成Enable之后，协议栈不再进行校验和的计算，而是由网卡自己完成。
如果在前述位置没有发现Rx Checksum Offload/Tx Checksum Offload项，
有两种可能，一种是网卡本身不支持这种功能，另一种是网卡驱动未提供配置项，后一种情形居多。

解决方法：

把网卡的属性修改一下就可以，禁用 Checksum Offload（原理是让网卡硬件自己计算校验和，而不是交给操作系统的 tcp/ip 协议栈来计算）：

2.1. 捕获过滤器表达式

这个主要还是需要多看输入的提示，我也是靠蒙写个简单的

//表示只过滤主机10.6.161.15或者10.10.65.67的包
host 10.6.161.15 or host 10.10.65.67
//使用域名
host baidu.com

 

//表示只显示Source为10.6.161.15的
ip.src==10.6.161.15

2.2. 开始捕获

菜单“捕获-选项”，设置需要捕获的网络适配器，点击“开始”。也可以在菜单“捕获-开始”、“捕获-结束”来控制开始结束。在“捕获-捕获过滤器”编辑捕获表达式

在上述“捕获”菜单中进行的操作，也可以在工具栏进行，如下图

2.3. 捕获结果

双击每一行记录，可在弹出窗口中查看详细记录

2.3.1. 着色规则

在菜单“视图-着色规则”下查看

2.3.2. 数据包的大致结构

• 第一行：数据包整体概述，
• 第二行：链路层详细信息，主要的是双方的mac地址
• 第三行：网络层详细信息，主要的是双方的IP地址
• 第四行：传输层的详细信息，主要的是双方的端口号。

2.3.3. 示例
注：window查看本机ip、mac等，可在cmd下使用命令ipconfig/all

2.3.3.1. 三次握手
客户端->服务器：发送标识为SYN=1、随机产生的客户端序号seq（发送序号）
服务器->客户端：发送标识为SYN=1、ACK=1、第一步产生的客户端序号seq+1（确认序号）、随机产生的服务端序号seq
客户端->服务器：第一步产生的客户端序号seq+1（发送序号）、第二步产生的服务端序号seq+1（确认序号）、ACK=1

三次数据包

其中[SYN]意为SYN位为1（如果没有，则表示为0）。同理如果[]中有ACK，表示ACK位为1

客户端==》服务器

服务器==》客户端

客户端==》服务器

2.3.3.2. 四次挥手

摘抄自：TCP三次握手和四次挥手过程

假设Client端发起中断连接请求，也就是发送FIN报文。Server端接到FIN报文后，意思是说"我Client端没有数据要发给你了"，但是如果你还有数据没有发送完成，则不必急着关闭Socket，可以继续发送数据。所以你先发送ACK，“告诉Client端，你的请求我收到了，但是我还没准备好，请继续你等我的消息”。这个时候Client端就进入FIN_WAIT状态，继续等待Server端的FIN报文。当Server端确定数据已发送完成，则向Client端发送FIN报文，“告诉Client端，好了，我这边数据发完了，准备好关闭连接了”。Client端收到FIN报文后，"就知道可以关闭连接了，但是他还是不相信网络，怕Server端不知道要关闭，所以发送ACK后进入TIME_WAIT状态，如果Server端没有收到ACK则可以重传。“，Server端收到ACK后，“就知道可以断开连接了”。Client端等待了2MSL后依然没有收到回复，则证明Server端已正常关闭，那好，我Client端也可以关闭连接了。Ok，TCP连接就这样关闭了！

四次数据包

数据含义同三次握手

2.3.3.3. tcp/ip数据包
标志位对应的功能：

URG： 紧急指针（ urgent pointer）有效。
ACK： 确认序号有效。
PSH： 接收方应该尽快将这个报文段交给应用层。
RST： 重建连接。
SYN： 同步序号用来发起一个连接。
FIN： 发端完成发送任务。
窗口大小：用于流量控制。
检验和：检验和覆盖了整个的 TCP报文段： TCP首部和TCP数据，与udp相似需要计算伪首部。
tcp数据包结构及在wireshark中的位置

ip数据包：（不画了，耐心已为负值）

2.3.3.4. 使用实例

抓取财政会计行业管理系统的一些示例

点击页面中的任意一个查询

如下，将包的内容和浏览器的内容对比一下

查看响应包（注意http和tcp流的不同）