(1) wireshark基本操作

1. 标记数据包

选中报文，右击，选择标记，该报文显示黑色。

2. 设置相对时间

选择某个报文时间为基准时间0，后面报文时间相对于此偏移。

选择报文右击，选择设置时间参考。

3. 包过滤

设置一些选项，过滤报文。

ip.src == 1.1.1.1

ip.dst == 2.2.2.2

ip.addr == 3.3.3.3

tcp.port == 80

tcp.port <= 80

tcp.srcport == 80

tcp.dstport == 80

tcp.flags.syn == 1   //SYN置位报文

tcp.flags.rst == 1    //RST置位报文

tcp

!tcp

eth.dst == 00:11:22:33:44:55

eth.src == 00:11:22:33:44:55

eth.addr[0:3] == 00:11:22   //过滤指定位

ip.length == 100

ip.length >= 100

frame.number == 800  //显示标号800的报文

frame.len == 60       //显示总长度60的报文

4. 查看端点信息

可以切换MAC/IP/TCP/UDP作为某个站点关键字，站点是单个点的统计信息。

5. 查看会话信息

会话信息是两两之间的交互统计信息

6. 查看各个协议层信息

7. 查看各报文长度统计

重点关注小包和大包的统计

8. 查看各个时间段流量情况

随着时间的推移，I/O吞吐量的变化情况。重点关注时间变化，但吞吐量不变。

9. 查看形象化报文交互

10. 查看TCP流细节

11. 查看TCP传输的整个会话信息

这样有多个TCP连接的话，可以排除其他信息的干扰，可以单一的看某个TCP连接的情况。

12. 开启名字解析

对于端口号，IP地址，MAC地址，有些有默认的名称，可以选择性的开启，这样会显示其名称，比如80端口->http 。

但是一般不建议开启解析，这样看上去不直观。

13. 专家信息

显示所抓取报文的对话/注意/警告/错误信息 数量统计。