wireshark数据包捕获分析

以太网卡的工作方式：

网卡的MAC地址(48位)

• 通过ARP来解析MAC与IP地址的转换

• 用ipconfig/ifconfig可以查看MAC地址

正常情况下，网卡应该只接收这样的包

• MAC地址与自己相匹配的数据帧（单播包）

• 广播包（Broadcast）和属于自己的组播包（Multicast）

网卡完成收发数据包的工作，两种接收模式

• 混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来

• 非混杂模式：只接收目的地址相匹配的数据帧，以及广播数据包和组播数据包

共享网络和交换式网络

共享式网络

通过网络的所有数据包发往每一个主机；

最常见的是通过HUB连接起来的子网；

交换式网络

通过交换机连接网络；

由交换机构造一个“MAC地址-端口”映射表；

发送包的时候，只发到特定的端口上；

交换机的镜像端口功能

Wireshark启动界面介绍：

点击“统计分析”按钮，可查看相关统计信息

下面是VLAN的I/O图表：

还可以在窗口界面，鼠标右键跟踪“流”

显示过滤器语法示例：

1、只显示目的UDP端口为4569或者来源TCP端口为80的封包：

2、一个整数可以用十进制表达，也可以用八进制、十六进制表达，下面的语法意义是相同的：

常用表达式举例：