一站式學習Wireshark（一）：Wireshark基本用法

按照國際慣例，從最基本的提及。

抓取報文:

下載和安裝好Wireshark以後，啓動Wireshark而且在接口列表中選擇接口名，而後開始在此接口上抓包。例如，若是想要在無線網絡上抓取流量，點擊無線接口。點擊Capture Options能夠配置高級屬性，但如今無此必要。

點擊接口名稱以後，就能夠看到實時接收的報文。Wireshark會捕捉系統發送和接收的每個報文。若是抓取的接口是無線而且選項選取的是混合模式，那麼也會看到網絡上其餘報文。

上端面板每一行對應一個網絡報文，默認顯示報文接收時間（相對開始抓取的時間點），源和目標IP地址，使用協議和報文相關信息。點擊某一行能夠在下面兩個窗口看到更多信息。「+」圖標顯示報文裏面每一層的詳細信息。底端窗口同時以十六進制和ASCII碼的方式列出報文內容。

須要中止抓取報文的時候，點擊左上角的中止按鍵。

色彩標識:

進行到這裏已經看到報文以綠色，藍色，黑色顯示出來。Wireshark經過顏色讓各類流量的報文一目瞭然。好比默認綠色是TCP報文，深藍色是DNS，淺藍是UDP，黑色標識出有問題的TCP報文——好比亂序報文。

報文樣本:

好比說你在家安裝了Wireshark，但家用LAN環境下沒有感興趣的報文可供觀察，那麼能夠去Wireshark wiki下載報文樣本文件。

打開一個抓取文件至關簡單，在主界面上點擊Open並瀏覽文件便可。也能夠在Wireshark裏保存本身的抓包文件並稍後打開。

過濾報文:

若是正在嘗試分析問題，好比打電話的時候某一程序發送的報文，能夠關閉全部其餘使用網絡的應用來減小流量。但仍是可能有大批報文須要篩選，這時要用到Wireshark過濾器。

最基本的方式就是在窗口頂端過濾欄輸入並點擊Apply（或按下回車）。例如，輸入「dns」就會只看到DNS報文。輸入的時候，Wireshark會幫助自動完成過濾條件。

也能夠點擊Analyze菜單並選擇Display Filters來建立新的過濾條件。

另外一件頗有趣的事情是你能夠右鍵報文並選擇Follow TCP Stream。

你會看到在服務器和目標端之間的所有會話。

關閉窗口以後，你會發現過濾條件自動被引用了——Wireshark顯示構成會話的報文。

檢查報文:

選中一個報文以後，就能夠深刻挖掘它的內容了。

也能夠在這裏建立過濾條件——只需右鍵細節並使用Apply as Filter子菜單，就能夠根據此細節建立過濾條件。

Wireshark是一個很是之強大的工具，第一節只介紹它的最基本用法。網絡專家用它來debug網絡協議實現細節，檢查安全問題，網絡協議內部構件等等。