Wireshark简介及常见用法 - noodles-v6/myfqa GitHub Wiki
本文来源: http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html
wireshark是捕获机器上的某一块网卡的网络包, 当你的机器上有多块网卡的时候, 你需要选择一个网卡.
点击Caputre->Interfaces.. 出现下面对话框, 选择正确的网卡. 然后点击"Start"按钮, 开始抓包.
WireShark 主要分为这几个界面
- Display Filter(显示过滤器), 用于过滤
- Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址, 端口号
- Packet Details Pane(封包详细信息), 显示封包中的字段
- Dissector Pane(16进制数据)
- Miscellanous(地址栏, 杂项)
- 地址包含10.166.37.45, 使用TCP协议, 走1099端口:
ip.addr == 10.166.37.45 and tcp.port==1099
- 指定源地址和目的地址:
ip.src ==192.168.1.102 or ip.dst==192.168.1.102
- 只显示TCP协议的源端口为80的:
tcp.srcport == 80
- 只看HTTP协议的记录:
http
- 只显示HTTP的GET方法记录:
http.request.method=="GET
面板包含:
- Frame 物理层的数据帧概况
- Ethernet II 数据链路层以太网帧头部信息
- Internet Protocol Version 4 互联网层IP包头部信息
- Transmission Control Protocol 传输层T的数据段头部信息,此处是TCP
- Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议
它们对应了OSI的七层模型.
**应用层** 表示层 会话层 **传输层** **网络层** **数据链路层** **物理层**