Wireshark简介及常见用法 - noodles-v6/myfqa GitHub Wiki

本文来源: http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html

原理

wireshark是捕获机器上的某一块网卡的网络包, 当你的机器上有多块网卡的时候, 你需要选择一个网卡.

点击Caputre->Interfaces.. 出现下面对话框, 选择正确的网卡. 然后点击"Start"按钮, 开始抓包.

窗口介绍

WireShark 主要分为这几个界面

  1. Display Filter(显示过滤器), 用于过滤
  2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址, 端口号
  3. Packet Details Pane(封包详细信息), 显示封包中的字段
  4. Dissector Pane(16进制数据)
  5. Miscellanous(地址栏, 杂项)

Display Filter 示例

  • 地址包含10.166.37.45, 使用TCP协议, 走1099端口: ip.addr == 10.166.37.45 and tcp.port==1099
  • 指定源地址和目的地址: ip.src ==192.168.1.102 or ip.dst==192.168.1.102
  • 只显示TCP协议的源端口为80的: tcp.srcport == 80
  • 只看HTTP协议的记录: http
  • 只显示HTTP的GET方法记录: http.request.method=="GET

Packet Details Pane 说明

面板包含:

  1. Frame 物理层的数据帧概况
  2. Ethernet II 数据链路层以太网帧头部信息
  3. Internet Protocol Version 4 互联网层IP包头部信息
  4. Transmission Control Protocol 传输层T的数据段头部信息,此处是TCP
  5. Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议

它们对应了OSI的七层模型.

**应用层**
表示层
会话层
**传输层**
**网络层**
**数据链路层**
**物理层**
Add a custom footer
⚠️ **GitHub.com Fallback** ⚠️