Wireshark抓包工具的使用

  Wireshark是非常流行的网络包的分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。可以把网络包分析工具看成是一种用来衡量有什么东西从网线上进出的测量工具。智能查看或发送封包，而不能修改封包的内容。

  Wireshark能获取HTTP，https但不能解密HTTPS。

使用Wireshark开始抓包的具体步骤如下：

1，打开wiresharek软件，界面如下：

2，选择捕获数据包的网卡（Capture--options--input）。如果你有多块网卡，你需要选择需要捕获数据包的网卡

3,Wireshark窗口介绍：

 （1）display filter(显示过滤器)，用于过滤信息的

 （2）packet list pane(封包列表)，显示捕获到的封包，有源地址和目标地址，端口号，颜色不同代表的信息也不同。

 （3)封包的详细信息，显示封包中的字段

 （4）dissector pane，16进制数据

 （5）miscellanous，地址栏，杂项。

4，学会使用过滤器。过滤器是非常重要的能帮助我们在大量的数据中迅速找到我们所需要的信息。过滤器分为两种：一种是显示过滤器，主界面上那个，用来捕获记录中找到所需要的记录。另一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录（capture---capture filters）。

5，不同的协议使用不同的颜色进行显示。也可以对这些颜色进行修改：view ---coloring rules.绿色是TCP报文，深蓝色是DNS，浅蓝色是UDP，黑色是由问题的报文，比如乱序报文。

6,查看封包的详细信息。各行信息分别为：

 frame:物理层数据帧概况

 Ethernet II：数据链路层以太网帧头部信息

 Internet Protocol Version 4:互联网层IP包头部信息

 Transmission Control Protocol：传输层的数据段头部信息，此处是TCP

 Hypertext Transfer protocol:应用层的信息，此处是http协议

以下是TCP包中的每个字段。

三次握手的实例过程为：

从图中可以看到wireshark截获到了三次握手的三个数据包，第四个才是http的，这说明http的确是使用tcp建立的连接。

 （1）第一次握手的数据包。客户端发送一个tcp，标志位SYN，序列号为0，代表客户端请求建立连接，如图：

 （2）第二次握手的数据包。服务器发回确认包，标志位SYN,ACK。将确认号（Acknowledgement Number)设置为客户的确认号加1即：0+1=1，如下图：

 

 （3）第三次握手的数据包：客户端再次发送确认包（ACK）SYN标志位0，ACK标志位为1，并且把服务器发来的ACK序号字段+1,放在确认字段中发送给对方，并且在数据段放写ISN的+1，如下图：