抓包-wireshark

具体使用见：https://wiki.wireshark.org/CaptureSetup

1.wifi：en0 查看tcp，udp，tls，ssdp（查找局域网网络设备），dns，arp等协议，也可查看http，https等
2.Loopback 本地环回接口（地址），一般查看127.0.0.1本地服务。

过滤：

（过滤输入框是绿色才表明过滤表达式是对的）
（注意：每个过滤表达式之间最好有空格）

 1.捕获过滤器 （位置：首页）
 2.应用显示过滤器 （选中一个接口进入第二个页面）

过滤语法结构： （注意区别：捕获过滤器不能使用==等连接符，不能使用"."
应用显示过滤器 需要使用 == 等连接符。需要使用"."）

1. Protocols

ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcp and udp

注：若不指定，默认使用所有支持的协议

2. Direction

src,dst

3.Host

net,port,host,portrange

4.Logical Operations

|| && ！

注：！优先级最高

5. Other expression

其他的过滤条件，当有多重表达条件时与Logica Operatios 一起连用

捕获过滤器（注：使用时，需先写好过滤规则）

使用案例如下：

• host 192.168.0.201 目标和源都是192.168.0.201
  src host 192.168.0.1 源地址为192.168.0.1
  dst host 192.168.0.1 目标地址为192.168.0.1
  也可以两者合并：src host 192.168.0.1 && dst host 192.168.0.1

• port 443
  ! port 443 代表端口不是443的
  dst port 80 代表目标端口是80
  同上可以使用 && 和 ！组合。并且使用host和port组合。
  如：src host 192.168.0.1 && ! port 80

• tcp //注意没有http
  ! tcp

应用显示过滤器

NOTE: && ！|| 等连接符同 捕获过滤器 具体点击 应用显示过滤器栏右边的表达式 或者 输入过滤规则的时候有提示。

• ip.addr ==192.168.0.102 源和目标是192.168.0.102
  ip.src ==192.168.0.102 源是192.168.0.102
  注意：同上面捕获过滤器规则不同，不能用host

• tcp.stream eq 0 tcp 报文索引0

  
  
  tcp.png

• tcp.port eq 443 端口443
  同 tcp.port == 443效果是一样

• eth.dst == A0:00:00:04:C5:84 //mac地址

• tcp.flags.syn == 0x02　　//显示包含syn标志位的数据包

• frame.len==119　　//整个数据包长度,从eth开始到最后

• http.request.method=="get"　　//显示http请求中method值为get的包

NOTE:若不退出wireshark，则重新点击抓包，直到没有包可以抓，并回到首页

参考：
附：tcp报文重组过程：
http://blog.sina.com.cn/s/blog_48eef8410100b1gw.html