Wireshark抓包分析协议

1. 下载、安装Wireshark和启动。

下载网址: https://www.wireshark.org/download.html；

2. Wireshark 开始抓包,使用说明：

a) 开始界面：

b) wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。点击Caputre->Interfaces… 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包.
Wireshark 窗口介绍:

WireShark 主要分为这几个界面：
（1）Display Filter(显示过滤器)， 用于过滤

（2）Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。

（3）Packet Details Pane(封包详细信息), 显示封包中的字段

（4）Dissector Pane(16进制数据)

（5）Miscellanous(地址栏，杂项)

c) Wireshark 显示过滤:

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种：
一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录
一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。

在Capture -> Capture Filters 中设置, 保存过滤.

d) 过滤表达式的规则

表达式规则

（1）协议过滤

比如TCP，只显示TCP协议。

（2）IP 过滤

比如 ip.src 192.168.1.102 显示源地址为192.168.1.102，
ip.dst192.168.1.102, 目标地址为192.168.1.102

（3）端口过滤

tcp.port == 80, 端口为80
tcp.srcport == 80, 只显示TCP协议的愿端口为80的。

（4）Http模式过滤

http.request.method==“GET”, 只显示HTTP GET方法的。

（5）逻辑运算符为 AND/ OR

例如：过滤表达式为：ip.src 192.168.1.102 or ip.dst192.168.1.102
其抓的数据包为：源地址或者目标地址是192.168.1.102

实验示例：

开始抓包，从抓的数据包中的找出一个IP数据包：
根据抓的包，在封包列表中选中一条信息后，在封包详细信息栏展开该IP数据包的详细信息，可参见下图：

从抓的数据包中，可以看出该数据包中的内容：版本首部长度、服务类型、总长度、标识、片偏移、寿命、协议、源Ip地址、目的地址等。
从抓的数据包中，也可以分析TCP协议格式：