1. 什么是Wireshark?

Wireshark 是一个网络封包分析软件。网络封包分析软件的功能是捕获网络封包,并尽可能显示出最为详细的网络封包资料。

Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。 Wireshark本身也不会送出封包至网络上。

官网:https://www.wireshark.org/

2. 使用

2.1 安装

下载地址:https://www.wireshark.org/download.html

下载下来安装就好,过程很简单,我发现现在安装下来之后直接就是中文版了。

2.2 开始捕获

启动Wireshark后,会自动检测网络接口,然后给你选择进行捕获:

比如我们选择本地连接,就会捕获本地连接中的网络通讯。下面是Wireshark主要的捕获界面,列出了捕获到的所有网络封包:

2.3 着色规则

可以发现,在捕获到的报文包中,Wireshark会用不同的颜色区分出来。具体的着色规则,可以在 视图 -> 着色规则(如果你是中文版) 中看到:

熟悉之后,通过颜色,就可以快速定位你要关注的包了,比如Bad TCP就是黑底红色的。

2.4 过滤器

wireshark有两种过滤器:捕捉过滤器(CaptureFilters)和显示过滤器(DisplayFilters)。

捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中,在捕捉时就进行过滤。

显示过滤器(DisplayFilters):在捕捉结果中进行过滤查找。

可以在下图标注的两个地方用到这两个过滤器:

过滤器会有语法规则,一开始不熟悉,其实也挺方便查看的,点击表达式,会有如下一个界面:

可以在这里查看显示过滤器的表达式规则,很方便。

过滤例子,只查看HTTP:

2.5 追踪流

通过使用追踪流,还能够看到服务器和目标端之间的全部会话。可以通过右键来选择:

会看到两边的会话信息:

查看完追踪流后,会自动添加过滤条件并显示。

2.6 检查报文

单击捕获的报文列表,下面的框框就会显示出该报文的信息,或者直接双击查看。