通过WhireShark学习网络分层结构

1.  什么是WhireShark？

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。

2. Wireshark是网络工程师和网络开发人员的一把神器，他可以让你看到完整的数据包，同时也是我们学习网络协议 的绝佳工具。

3. 下载安装，打开搜索引擎搜‘whireshark’，下载后将其安装就可以了，windows安装非常简单，没有什么特殊需要设置的地方，一路next就哦了。

 

4. 抓包

初学者尽量抓一些关键信息。

1. 只抓包头，抓的信息太多不利于处学着分析网络包。

   
   

根据图片所示，在窗口上定义limit each packet to的值，设置为80：代表每个网络包抓钱80个字节，这样的话TCP层、网络层、数据链路层的信息都可以抓到。如果要包括应用层的话，200个字节差不多，没有的话就再设置大点就行。

2. 只抓必要的包，可以在capture filter 中输入 host + ip地址（例如 host 192.168.1.5）

3. 为每步操作打上标记，比如要在Windows上抓一个包。

① ping ip地址 -n 1 -l 1

② 操作步骤1

③  ping ip地址 -n 1 -l 2

④ 操作步骤2

⑤ ping ip地址 -n 1 -l 3

⑥ 操作步骤3

这样就算在步骤很多的情况下也不会混乱。

5. 自动分析

如果不需要看数据包的细节，可以直接用Wireshark分析。

1. Analyze-->Expert Info Composite,可以在不同标签下看到不同级别的提示信息。比如连接的建立信息。

这个就是wireshark的基本使用方法，在掌握了基本的使用方法后，下次我们就用wireshark来分析下一个数据包的，完整生命周期。