引言

最近在恶补关于计算机网络的相关知识，什么各种各样的协议呀，什么路由器、交换机呀，各种各样的纠错呀，还有密码学，但是那种计算机网络的书内容真的看的我头都大了，看着教材后面每一章都有wireshark对应的实验，因此今天特意结合书本内容学习一下，顺便写个分享(暴露了)

安装

官网：https://www.wireshark.org/ ，科学上网打开网速可能更快，傻瓜式安装就好了

使用

可能很多人也用过fidder抓包工具，但是这款软件和fidder还是有很大区别的，首先看打开后：

图中显示的就是你电脑中所有网络连接方式，包括本地连接、虚拟机网络适配器以及wlan等，其中带有波浪线的就是目前电脑中正在使用的，也就是说可以抓取这些网络连接中的数据，下面就看看如何使用吧！

抓取数据

以wlan为例，点击捕获->捕获选项->选择要抓包网络->开始，点击wlan后，可以实时显示网络中所有的数据：

可以分成三个部分，最上方是数据信息部分，从左到右依次是时间，源地址，目的地址，协议、数据长度以及备注信息
默认时间显示格式可能是时间戳格式，点击视图->时间显示格式就可以更改为正常格式，其次，我已经对源地址和目的地址进行了对应的DNS解析了，刚打开一般显示的都是对应的ip地址，要想显示具体名称，点击捕获->选项->选项->Resolve Network Name等，如下图所示：

中间部分是对数据的具体描述，比如数据帧的长度，以太网描述，IP协议版本，数据报源地址和目的地址端口号，如图所示

最下面就是数据报的具体数据，一个符号4个bit，相邻两个即为一个Byte，最右边就是数据具体内容

常用功能

分组着色

右击数据信息可以标记取消分组，设置或者取消时间参考（方便查找在某段时间之后或者之前的数据），着色（对不同协议数据进行着色更加方便查找）

追踪流

追踪流（点击追踪之后只显示该会话中所有的数据，并且会显示该数据包内容，红色是源到目的地；蓝色反之）

同时从显示信息中也可以看出TCP数据包格式，ACK，SYN，FIN等，如下图所示，具体含义牵扯到计算机网络知识，可以关注对应博客

统计分析

文件分析

点击统计 -> 捕获文件属性 可以得到系统硬件信息、hash编码信息、数据分组信息

协议分层

统计 -> 协议分级 可以得到协议间的层级关系、对应的数据大小

会话统计

统计 -> 会话 可以得到host和server之间的会话信息，包括彼此之间发送的数据大小

长度统计

统计 -> 分组长度 可以得到不同packet的长度信息

IO吞吐

统计 -> IO图表 对网络吞吐流量进行实时监测

过滤

我们的网络无时无刻不在接受数据，那么多的数据我们如何快速定位到自己需要的数据呢？这时我们就需要过滤器的帮助啦！

抓包过滤器

点击捕获->捕获过滤器可以设置我们需要的捕获过滤器

• Type: host net port
• Direction: src(源) dst(目的)
• Proto： ether(以太网) ip tcp udp http ftp
• 符号： && || ! 与或非
• 规则：先Proto 再Direction 再 Type 最后地址
• 例子：
  -1. src 192.168.1.1 && | || dst port 80 抓取源地址ip为192.168.1..1和 | 或目的地址端口80对应数据
  -2. ！broadcast 不要抓取广播地址

显示过滤器

IP

ip.addr | src | dst == 192.168.1.1

port

tcp.port | srcport | dstport == 80

Protocal

ARP(根据IP地址查询物理MAC地址)
TCP
UDP
HTTP
not ARP

导出

点击文件 -> 导出分组解析结果
可以选择不同的保存格式，包括csv|json|txt等格式，当然前两者是最常用的啦

好啦，以上就是对wireshark抓包工具的介绍，希望可以对大家有所帮助哦！

每日一语

假期真的太短啦!