Wireshark使用記錄

TCP/IP協議族裏的協議衆多 要一一精通比較困難，在一些緊急急須要分析主機、客戶端的流量場景時，不懂協議也要上！下面就是用到哪裏就記錄到哪，有錯誤歡迎評論指出，多謝。

wireshark這玩意至關於電腦的總網絡代理，不像burpsuite只有只能攔截瀏覽器的http/https兩種協議，電腦上使用的幾百種協議，他都能給你攔截下來，問題也隨之產生了，那麼多協議，那麼多數據包，幾乎一秒好幾百條數據包，新手看到這數據像瀑布同樣的場面，膽小估計都得嚇尿了，不要慌，跟着老夫一把梭。

你就把他當成mysql數據庫，裏面的庫、表、字段、數據很是多，必須經過精確的過濾語法把想要的數據過濾出來才能獲得發包、響應包，進行分析，若是不會過濾，那麼這個神器也和你沒什麼關係。

使用這玩意的情景，不少時候下是不知道客戶端使用了什麼鬼協議，在定出大體範圍的時候，清空包，而後快速點擊客戶端的一個發包功能，wireshark會攔截到前面的位置，這樣就好定位出來了。而後在經過分析TCP流，查看是什麼協議，在進行過濾。

選擇網卡

wireshark是捕獲機器上的某一塊網卡的網絡包，當你的機器上有多塊網卡的時候，你須要選擇一個網卡。
用wifi 就選wi-fi:en0
en0就是你的網卡標識。

用有線網線的話，看看標識是什麼，我很久沒用過有線了。

若是你知道服務器的ip

# Source 爲本機的地址
# 過濾 Source字段爲： 10.161.114.198 的數據
ip.src eq 10.161.114.198

# Destination 表示 服務器的地址
# 過濾 Destination字段爲： 10.161.204.10 的數據
ip.dst eq 10.161.204.10

每條記錄都有以下協議層
（1） Frame: 物理層的數據幀概況
（2）Ethernet II: 數據鏈路層以太網幀頭部信息
（3）Internet Protocol Version 4: 互聯網層IP包頭部信息
（4）Transmission Control Protocol: 傳輸層的數據段頭部信息，此處是TCP
（5）Hypertext Transfer Protocol: 應用層的信息，此處是HTTP協議

應用層的信息，都是二進制亂碼，看個卵，

不要怕，右鍵Follow——>TCP Stream，仍是能看到一些數據的。

攔截TCP報頭

捕獲過濾器中填入表達式：host www.cnblogs.com and port 80（80等效於http）
會有多個TCP流時在顯示過濾器中，這時填入表達式：tcp.stream eq 0 篩選出第一個TCP流（包含完整的一次TCP鏈接：三次握手和四次揮手）

tcp.stream eq 0

若是你知道使用什麼協議---http協議攔截舉例

1. 過濾http，而且清理一下歷史數據
   

2. 隨便打開一個域名
   

3. 分析包
   我也不知道爲何http 也會叫OCSP協議，至少格式仍是同樣的，先無論。
   

4. 分析TCP流，熟悉的格式又回來了。