Wieshark簡介

wireshark是一個免費開源的網絡數據包分析軟件，功能十分強大。可以截取各種網絡數據包，顯示網絡數據包的詳細信息。

wireshark頁面介紹

1.開始頁面

2.wireshark是捕獲機器上的一塊網卡的網絡包，當你有多塊網卡時，選擇其中的一個。

當你只有一塊網卡時，選擇網卡eth0。（默認選擇網卡后自動抓包）

wireshark窗口介紹

wireshark主要分為5個界面

1.Display Filter(顯示過濾器) ，用于過濾

2.Packet list Pane(數據包列表)，顯示捕捉到的數據包，有效IP和目標IP，端口號

3.Packet Details Pane(數據包詳細信息) ，顯示數據包中的字段

4.Dissector Pane(16進制數據)

5.Miscekkanous(地址欄)

wireshark過濾器

掌握過濾技能是非常重要的，初學者使用wireshark進行抓包時，由于抓到的數據包的種類繁多，很難找到自己需要的部分。

過濾器會幫助我們迅速找到我們需要的信息。

過濾器有兩種。

一種是顯示過濾器，，用來在我們捕獲的數據包中找到我們需要的信息。（圖二）

另一種是捕獲過濾器，用來過濾捕獲的數據包。在開始頁面Capture中 （圖一）

過濾表達式的規則

1.協議過濾

比如tcp，只顯示捕獲TCP協議

2.IP過濾

比如 ip.src ==10.1.1.1 只顯示源地址為10.1.1.1的數據包

ip.dst== 10.1.1.1 只顯示目的地址為10.1.1.1的數據包

3.端口過濾

tcp.port == 80 只顯示目的地址80端口的TCP數據包

tcp.srcport == 80 只顯示源地址80端口的TCP數據包

4.http模式過濾

http.request.method == "GET" ,只顯示HTTP GET方法。

5.邏輯運算符為 AND/OR（不分大小寫）

ip.dst ==10.1.1.1 and port == 80 只顯示目標IP為10.1.1.1且端口為80的數據包

數據包列表

數據包列表的面板中顯示，編號，時間，源地址，目標地址，協議，長度，以及數據包信息。從圖中你可以看到不同的協議不同顏色，并且協議連接不成功和成功顏色也不一樣。

數據包詳細信息

在這個面板中，我們可以查看協議中的任意一個字段。

各行信息分別為

Frame： 物理層的數據幀概況

Ethernet II： 數據鏈路層以及以太網頭部信息

Internet Protocol Version 4： 互聯網Ip包頭部信息

Transmission Control Protocol ：傳輸層T的數據段頭部信息，此處是TCP

Hypertext Transfer Protocol 應用層信息，此處是HTTP協議

數據包具體內容（本次用的例子TCP協議）

4.分析三次TCP握手過程

首先用wireshark進行抓包，下圖是我用wireshark抓到的TCP三次握手的數據包。

（雙擊抓到的包就可以看到詳細信息或者在頁面第二個方框中也可以看到詳細信息）

第一次握手數據包

客戶端發送一個TCP數據包，標志位為SYN，序列號為0，代表客戶端請求建立連接。如下圖

第二次握手數據包

服務器發揮確認包，標志位為SYN，ACK，將確認序號（Acknowledgement Number）設置為客戶的ISN+1，如下圖

第三次握手的數據包

客戶端再次發送確認包（ACK），SYN標志位為0，ACK標志位1，并且把服務器發來ACK的序號字段+1，放在確認字段中發送給對方，并且在數據段中的ISN+1，如下圖

這樣就完成了TCP三次握手，建立了連接！

審核編輯：劉清