Wireshark入门与进阶系列一之基本使用

0x00 前言

    Wireshark（前称Ethereal）中文版是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

0x01 工作流程

(1)确定Wireshark的位置.如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据.
(2)选择捕获接口.一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据.否则,捕获到的其它数据对自己也没有任何帮助.
(3)使用捕获过滤器.通过设置捕获过滤器,可以避免产生过大的捕获文件.这样用户在分析数据时,也不会受其它数据干扰.而且,还可以为用户节约大量的时间.
(4)使用显示过滤器.通常使用捕获过滤器过滤后的数据,往往还是很复杂.为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤.
(5)使用着色规则.通常使用显示过滤器过滤后的数据,都是有用的数据包.如果想更加突出的显示某个会话,可以使用着色规则高亮显示.
(6)构建图表.如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的形式可以很方便的展现数据分布情况.
(7)重组数据.Wireshark的重组功能,可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件.由于传输的文件往往较大,所以信息分布在多个数据包中.为了能够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现.

0x02 下载和安装

下载地址： https://www.wireshark.org/

安装方法：

windows平台：直接安装 Wireshark-win64-2.0.5.exe 

非windows平台：请参考文档 https://www.wireshark.org/docs/

0x03 设置捕获接口

#在windows平台中，有两个wireshark的图标，一个是wireshark(中文版）；另外一个是wireshark legacy （英文版）。在这里我们选择wireshark(中文版)

0x04 停止与重新监听

0x05 数据包的保存

完成数据包的捕获后，可能我们并不急着马上做分析，或者说当前能做的分析还不够完整，需要后面来加深……如此种种，我们需要用文件保存这些数据包。保存数据包也有三种方式，

1 使用Ctrl+S组合键；

2 菜单栏：依次点击"File"-->"Save"

3 主工具栏 的按钮

欢迎大家分享更好的思路，热切期待^^_^^ !