About Wireshark

Wireshark是世界上最重要和使用最广泛的网络协议分析器。它让您在微观层次上看到网络上正在发生的事情，并且是许多商业和非营利性企业、政府机构和教育机构事实上(通常也是法律上)的标准。Wireshark的发展得益于全球网络专家的志愿贡献，并且是Gerald Combs在1998年开始的一个项目的延续。

下图是wireshark界面的截图：

下面介绍一些wireshark的基础用法

1、查找

2、标记：Ctrl+M 或 右键菜单

3、时间显示格式

4、相对时间：Ctrl+T

5、捕获选项：Ctrl+K

6、名字解析

(1)类型

MAC 地址解析(Resolve MAC addresses)：MAC 转换成 IP

网络层名字解析(Resolve network-layer names)：IP 转换成 DNS 名称(网址)

传输层名字解析(Resolve transport-layer names)：将端口转换成协议

使用外部网络名称解析器(Use external network name resolver)

(2)弊端

解析可能失败；

打开捕获文件都要重新解析一遍；

解析 DNS 名字会产生额外流量；

解析过程占用系统资源。

7、协议解析

右键点击数据包，选择 Decode As，创建强制解码器，比如可以强制将 80 端口解析成

FTP 协议，点击 Clear 可清除强制解码器。

8、过滤器

(1)过滤器 BPF 语法

逻辑运算符：与 && 或 || 非！

(2)显示过滤器

可以通过设置自带的过滤表达式来过滤显示数据。

(3)比较操作符

(4)逻辑操作符

操作符 说明

And 两个条件需同时满足

Or 其中一个条件被满足

Xor 有且仅有一个条件被满足

Not 没有条件被满足

(5)过滤器举例

结语

以上就是关于wireshark的一些基础用法！