Wireshark介绍

Wireshark是一款可以运行在多平台的网络抓包工具，可以嗅探通过本机网卡的各类网络包，并对它们的协议，源、目标地址等多种数据进行解析。

Wireshark使用

一、基础数据说明

下图为Wireshark中一个普通数据包的显示内容

数据包显示五层信息
（1）Frame: 物理层的数据帧概况
（2）Ethernet II: 数据链路层以太网帧头部信息
（3）Internet Protocol Version 4: 互联网层IP包头部信息
（4）Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP
（5）Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议
不同数据包的着色规则

各层信息的具体内容

二、指定数据包过滤

（1）协议过滤
比较简单，直接在Filter框中直接输入协议名即可。注意：协议名称需要输入小写。
tcp，只显示TCP协议的数据包列表
http，只查看HTTP协议的数据包列表
icmp，只显示ICMP协议的数据包列表
（2） ip过滤
ip.src 192.168.1.104 显示源地址为192.168.1.104的数据包列表
ip.dst192.168.1.104, 显示目标地址为192.168.1.104的数据包列表
ip.addr == 192.168.1.104 显示源IP地址或目标IP地址为192.168.1.104的数据包列表
（3）端口过滤
tcp.port 80, 显示源主机或者目的主机端口为80的数据包列表。
tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。
tcp.dstport == 80，只显示TCP协议的目的主机端口为80的数据包列表。
（4） Http模式过滤
http.request.method"GET", 只显示HTTP GET方法的。
（5）逻辑运算符为 and/or/not
过滤多个条件组合时，使用and/or。比如获取IP地址为192.168.1.104的ICMP数据包表达式为ip.addr == 192.168.1.104 and icmp
（6）按照数据包内容过滤。我们选中任意数据包，可以根据它的具体内容中的某一项作为过滤器应用。

Wireshark安装

其官网提供多平台的下载：Wireshark下载