Wireshark抓PC端应用包

背景：PC端应用遇到一个问题，用fiddler无法抓包看请求，所以学习了Wireshark抓包。
一、下载Wireshark
直接在百度输入“wireshark”检索，然后默认安装（安装路径可以指定到自定义位置）即可。

wireshark下载.png

二、抓PC端包
1、默认获取本机所有的网卡信息，这里选择“本地连接”

本地连接.png

2、双击“本地连接”，主要获取的是本地网卡发送和接收的所有信息

本地发送和接收的信息.png

3、协议概念
（1）OSI七层通信模型：应用层、表示层、会话层、传输层、网络层、数据链路层和物理层
（2）TCP/IP的五层通信模型：应用层（应用层、表示层、会话层）、传输层、网络层、数据链路层和物理层
4、具体一条记录里的信息分析
（1）Frame查看概览信息，可以看到发送和接收时间及传输内容大小
（2）Ethernet查看发送和接收方的mac地址
（3）Internet发送和接收方IP地址等信息
（4）Transmission 发送和接收方端口等信息

具体一条请求的内容分析.png

5、通过过滤方法找到我们需要的请求
（1）直接输入“dns”，可以获取所有的DNS的请求

过滤dns.png

（2）直接输入“http”，可以获取所有的HTTP的请求

过滤http.png

6、确认具体PC端应用的请求和发送IP地址
（1）启动任务管理器，找到被测试的PC端应用，右键选择“转到进程(G)”

任务管理器.png

（2）进程->查看->选择列，添加“PID（进程标识符）”，查看PID

查看PID.png

（3）cmd控制台输入netstat -ano| findstr "1084"，1804就是上个步骤查到的PID值，排除本地地址和常见443及80端口的IP，基本就只剩一条IP+端口可以确认是该PC端应用的接收IP地址

image.png

（4）输入ip.src== 192.xx.xx.100 && ip.dst== 202.xx.xx.6，对发送和接收IP进行过滤，获取到这个PC端应用的请求，如果记录中出现黑色背景的记录，说明这条记录发送失败

根据IP来过滤.png