Web安全工具—WireShark使用（持续更新）

Web安全工具—WireShark使用（持续更新）

简介：WireShark是当前非常流行和厉害的网络封包分析工具，可以截取各种网络数据包，并显示数据包详细信息，不仅常用于测试过程中定位问题，更在网络故障定位，Web渗透中随处可见。

wireshark工具原理介绍：

提要：因为有很多文章都介绍了Wireshark的使用方法，常见过滤表达式，但是很多人只知道如何使用，并不了解其工作机制和表达式的组成机制。

抓包机制：

Wireshark通过抓取网卡混杂模式下流量进行分析，当网卡置于混杂模式下，能够接收所有经过它的数据流，而不论其目的地址是否是它。
选取抓取的网卡：

表达式机制：

当我们在使用过滤表达式过滤想要的数据的时候，例如：ip.dstip== 39.106.226.142，我们去查看目的IP是39.106.226.142的所有数据报文。

但是类似ip.dstip== 39.106.226.142这种的过滤是怎么形成的，下面进行说明
表达式各部分组成说明：

复合过滤表达式：
我们最常使用的过滤表达式便可以通过上述的机制记忆和使用，下面使用域名过滤表达式例子进行说明。

域名过滤表达式过滤数据包：

常用表达式：

http（协议）.host（协议字段）==（过滤关系）"qq.com"(过滤值）
http (协议）.host （协议字段） contains（过滤关系） csdn.net（过滤值）
上述过滤表达式遵循上述写的表达式机制

总结：Wireshark的作用十分强大，在学习使用的过程中，了解工具原理可以让我们更好的使用和理解工具，本篇文章仅解释了Wireshark的部分原理，使用可以参考下面的文章一起学习。

涉及文章：

网络分析工具——WireShark的使用（超详细）