Wireshark使用教程（二）——Wireshark的高级功能

Wireshark的高级功能

一、数据流追踪

如何对数据流进行追踪呢？

1. 首先打开wireshark不使用任何过滤器，然后根据自己的情况选择网卡，双击网卡就开始抓包了。（由于我是连的WiFi所以我选择了WLAN）
   
2. 在浏览器的地址栏输入www.4399.com，回车。
3. 在wireshark中选择一个tcp数据包，然后点击分析→追踪流→tcp流。（尽量关闭其他网页）
4. 弹出的页面中红色部分为浏览器（客户端）发送给服务器的，蓝色部分则是服务器的回包。而且可以在红色部分的Referer字段中可以找到我们访问的网页。
   

二、专家信息说明

1. 打开wireshark，选择网卡开始抓包。
2. 选择分析，然后点击专家信息
3. 在弹出的窗口中可以看到不同颜色的提示信息.。错误（error）、警告（warning）、注意notes、对话（chats）。
4. 双击打开错误包（error），我们可以看到数据包错误的原因。

三、统计摘要说明

1. 打开wireshark，在显示过滤器上输入http过滤http协议的数据包。
2. 选择统计，然后点击数据包捕获属性。
3. 在弹出的窗口中我们可以看到wireshark对http协议的抓包统计信息。

四、协议分层统计

1. 打开wireshark，选择统计→协议分级
2. 在弹出的窗口中我们可以看到，不同协议的占比。也可以通过协议的占比来分析网络是否存在问题，比如ARP协议的占比。

五、网络节点和会话统计

（一）、网络节点

1. 打开wireshark，选择统计然后点击Endpoints。
2. 在弹出的窗口中我们可以看到地址（ip地址或Mac地址）对应的数据包个数和对应端口等。

（二）、会话统计

1. 打开wireshark，选择统计然后点击Conversations。
2. 在弹出的窗口中Ethernet、ipv4、ipv6、tcp、udp是以源、目地址（Mac地址或者IP地址）进行统计。
3. 在tcp选项中我们还可以进行流追踪。

六、数据包长度

1. 打开wireshark，选择统计，点击分组长度
2. 在弹出的窗口中，我们可以看到wireshark将数据包长度分成了不同的长度组来统计。

七、图表分析

（一）I/O图表

1. 打开wireshark，选择统计点击I/O图表。
2. 在弹出的窗口中我们可以看到wireshark对网卡的流量和tcp错误包进行了统计。
3. 可以点击窗口的左下角的“+”号添加新的需要统计的数据组，并在Dispaly Filter中加入过滤规则，也可以选择组然后点击“-”号删除已经存在的组。

（二）流量图

1. 打开wireshark，选择统计点击流量图。
2. 在弹出的窗口中我们可以看到数据包的交互过程。
3. 也可以修改流类型。