写在前面

wireshark作为最优秀的抓包工具，有必要详细的看下其基本用法，所以本文就一起来做这件事吧！

1：初步介绍

打开wireshark首先会进入如下的界面：

想要开始抓包，需要进行如下操作：

接着进入如下的页面：

input选项中是让选择要抓包的网卡，具体如下：

这是我本地的，注意你的不一定和我一样！

流量列有波动的就是有流量产生的网卡，一条线的就是没有流量的网卡。比如本文就是对本地回环地址的网卡抓包。
输出选项设置文件输出方式，如下：

选项：

过滤器，可以录入过滤信息，当然也可以补录，此时抓到的包可能会比较多，且针对性比较弱：

接着进入抓包流程。

2：抓包页面介绍

如下图：

2.1：工具栏

按照不同的功能划分为5个区域。

2.2：过滤器

过滤使用。

2.3：数据包

就是抓到的数据包了。

2.4：数据包细节

通过协议分层的方式进行展示。

2.5：原始字节流

以十六进制形式展示原始的字节流。如果要深入到协议细节，或者是排查可能的协议格式问题时这部分内容是很有用的。

3：常用功能详细介绍

3.1：调整时间列显示

默认是按照时间序列来展示的，可以通过如下操作进行调整。

具有如下三种方式：

3.2：数据包面板左侧符号含义

3.3：流追踪

通过流追踪可以查看按照某种协议方式展示的数据包，一般tcp，http会比较常用，对于像我这种web开发来说，http流追踪是最常用的：

3.4：过滤

过滤分为捕获过滤和显示过滤，捕获过滤是在抓包之前过滤决定是否为要抓的包，是的话才抓包：

显示过滤是对已经抓到的包进行过滤：

3.4.1：捕获过滤

捕获过滤采用BPF语法,全称Berkeley Packet Filter，从Packet Filter也可以看出其是针对数据包过滤而定义的语法。
捕获过滤的一个完整语句，叫做expression表达式，一个表达式由primitive原语和原语运算符构成。
原语由名称值和描述这个值的多个限定词组成，这个值可以是名称也可以是数字，比如端口号啊，域名啊这些，是需要我们来给出的，如下：

限定词type可以有如下的值：

限定词dir方向可以有如下的值：

限定词proto协议可以有如下的值：

3.4.2：显示过滤

显示过滤是wireshark自定义的一种语法格式，因此仅仅适用于wireshark。

• 过滤属性
  过滤属性也就是我们要通过谁作为条件来进行过滤，哪些能作为过滤属性呢？只要是协议面板里出现的都可以，如下：
  
  但是我们看到的值并不能直接作为过滤属性的值，比如：
  
  那么应该给什么值呢？可以通过如下操作查看：
  
  
  其中dhcp的mesage type应该怎么写呢，可以先找到DHCP协议：
  
  接着找到messasge type属性：
  
  因此应该写作：dhcp.option.vendor.bsdp.message_type，如下：
  
• 过滤值比较符
  
• 过滤值类型
  
  具体某个过滤属性是什么类型可以通过支持的协议查看：
  
• 表达式的组合
  
• 其他常用操作符
  
• 可用函数
  
• 过滤器可视化对话框
  通过ui的方式辅助我们写过滤表达式：
  

写在后面

参考文章列表