Wireshark

Wireshark

Wireshark是一款免费开源的网络协议分析工具，它可以捕获和分析网络流量，帮助用户诊断网络问题、分析协议行为、检测安全漏动等。Wireshark支持多种网络协议，并提供了丰富的过滤和分析功能，使其成为网络工程师、安全分析师和开发人员的必备工具。

主要功能

实时流量捕获：可以在网络接口上实时捕获数据包。

协议解析：支持数百种网络协议，能够深入解析每一层的数据。

过滤和搜索：提供强大的过滤功能，可以在捕获过程中或之后进行精确的数据包筛选。

统计数据：生成各种统计数据，帮助用户理解网络流量的分布和趋势。

专家系统：内置专家系统，可以检测并标记潜在的网络问题。

文件导入和导出：支持导入和导出多种格式的捕获文件，方便数据共享和分析。

使用方法

1. 安装Wireshark

Wireshark可以在Windows、macOS和Linux等多种操作系统上运行。你可以从官方网站（ https://www.wireshark.org/）下载适合你操作系统的版本，并按照安装指南进行安装。

2. 启动Wireshark

安装完成后，打开Wireshark应用程序。首次启动时，可能会要求你选择一个网络接口用于捕获流量。

3. 捕获流量

选择网络接口：在主界面的顶部选择你要捕获流量的网络接口。

设置捕获选项：在“Capture Options”窗口中，可以选择捕获模式（如普通模式或混杂模式）、捕获时间限制等。

开始捕获：点击“Start”按钮开始捕获流量。

4. 使用过滤器

Wireshark提供了两种主要的过滤器：捕获过滤器（Capture Filter）和显示过滤器（Display Filter）。

捕获过滤器：在捕获过程中使用，可以减少不必要的数据包捕获。

显示过滤器：在捕获完成后使用，可以帮助你在已捕获的数据包中进行精确查找。

例如，如果你想只捕获HTTP流量，可以在捕获选项中设置捕获过滤器为“http”。如果你只想查看特定IP地址的数据包，可以在显示过滤器中输入“ip.addr == <IP Address>”。

5. 分析捕获结果

捕获完成后，Wireshark会显示所有捕获到的数据包。你可以通过双击某个数据包来查看其详细信息，包括各个协议层的详细内容。

6. 使用统计数据

Wireshark提供了多种统计信息，如流量图、协议层次结构、会话统计等。可以通过“Statistics”菜单访问这些功能，帮助你更好地理解网络流量。

7. 导出捕获文件

如果你需要将捕获的数据分享给他人或在其他设备上分析，可以使用“File”菜单中的“Save”或“Export”功能，将捕获文件保存为不同的格式（如pcap、txt、csv等）。

注意事项

隐私和法律：在捕获和分析网络流量时，必须遵守相关法律法规和隐私政策，不得未经授权捕获他人的网络流量。

性能影响：在高流量的网络环境中，长时间捕获大量数据包可能会影响系统性能，建议合理设置捕获时间和过滤条件。

通过以上步骤，你可以有效地使用Wireshark来诊断网络问题、分析协议行为和提高网络安全。

使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种，

一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录

一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。 在Capture -> Capture Filters 中设置

保存过滤

在Filter栏上，填好Filter的表达式后，点击Save按钮， 取个名字。比如"Filter 102",

过滤表达式的规则

表达式规则

1. 协议过滤

比如TCP，只显示TCP协议。

2. IP 过滤

比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102，

ip.dst==192.168.1.102, 目标地址为192.168.1.102

3. 端口过滤

tcp.port ==80,  端口为80的

tcp.srcport == 80,  只显示TCP协议的愿端口为80的。

4. Http模式过滤

http.request.method=="GET",   只显示HTTP GET方法的。

5. 逻辑运算符为 AND/ OR

常用的过滤表达式