介绍

关键技术点1：协议分层
协议分层是网络通信的基础，它将复杂的网络协议分解为多个层次，每一层负责特定的功能，从而简化了网络通信的复杂性。在Wireshark中，协议分层可以帮助用户理解数据包的结构和每一层的具体作用。通过图解的方式，可以直观地展示每一层数据包的组成和字段含义，使得学习网络协议变得更加容易。这种分层结构不仅有助于初学者理解网络协议，也有助于高级用户进行网络故障排查和性能优化。

关键技术点2：字段含义
字段含义是理解网络协议的关键，每个字段都有其特定的意义和功能。在Wireshark中，通过拆解图的方式可以详细展示每个字段的含义和作用，帮助用户深入理解数据包的结构。例如，IP数据包中的源地址和目标地址字段，分别表示数据包的发送者和接收者的地址；TCP数据包中的序列号和确认号字段，用于保证数据传输的可靠性和顺序性。通过图解的方式，可以更加直观地展示这些字段的含义和作用，使得学习网络协议变得更加容易。

关键技术点3：拆解图
拆解图是Wireshark中用于展示数据包结构的重要工具，它可以将复杂的数据包分解为多个层次和字段，并直观地展示每一部分的具体含义和作用。通过拆解图，用户可以清晰地看到数据包的每一层结构，以及每一层的数据包是如何组合和拆解的。这种图解方式不仅有助于初学者理解网络协议，也有助于高级用户进行网络故障排查和性能优化。拆解图还可以帮助用户快速定位问题所在，提高网络调试的效率。

流程

wireshark详细图文入门教程

写在前面

1. 1. 功能
   Wireshark具备捕获HTTP和HTTPS流量的能力，然而它无法解密HTTPS通信，因此无法解析HTTPS数据包中的具体内容。综上所述，在处理HTTP和HTTPS流量分析时，建议使用Fiddler进行更深入的分析；而对于TCP、UDP等其他协议的流量捕获与分析，则可以依赖Wireshark来实现。
2. 2. 选择网卡
   Wireshark这个网络分析工具主要用于捕获安装在计算机上的特定网卡所发送和接收的网络数据包。如果在同一台机器上安装了多张网卡，那么在使用Wireshark进行数据包捕获时，就必须明确指定要监控的那一张网卡。
   

   

3. 3. 窗口介绍：
   

   

   
   WireShark 主要分为这几个界面
   3.1 Display Filter(显示过滤器)， 用于过滤
   3.2 在数据包监控视图中，用户可以观察到所有捕获的网络数据包，该视图详细列出了每个数据包的来源地址、目标地址以及端口号。为了便于区分，不同类型的数据包会以不同的颜色进行标识。
   3.3 Packet Details Pane(封包详细信息), 显示封包中的字段
   3.4 Dissector Pane(16进制数据)
   3.5 Miscellanous(地址栏，杂项)
   如何捕获数据包
   

   

4. 4. 过滤器
   运用过滤器功能至关重要，对于初次接触Wireshark的用户而言，如果没有使用过滤器，将会面对海量的冗余数据，在成千上万条记录中，想要定位到目标信息变得异常困难，甚至容易让人感到迷茫和不知所措。过滤器能够有效地协助我们在庞大的数据流中快速锁定所需的内容。
   4.1 过滤器有两种，一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录，一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。在Capture -> Capture Filters 中设置，保存过滤。
   4.2 新建过滤器，在Filter栏上，填好Filter的表达式后，点击Save按钮， 取个名字。比如"Filter 10",
   

   

   
   4.3 过滤表达式的规则
   4.3.1 协议过滤
   比如TCP，只显示TCP协议。
   4.3.2 IP 过滤
   例如，在数据包分析中，如果字段ip.src被赋值为192.168.1.102，那么这表示该数据包的源地址即为192.168.1.102。
   ip.dst=192.168.1.102, 目标地址为192.168.1.102
   4.3.3 端口过滤
   tcp.port =80, 端口为80的
   在筛选TCP数据包时，我们关注的是源端口（srcport）等于80的连接，这意味着仅展示那些源端口设置为80的TCP通信。
   4.3.4 Http模式过滤
   http.request.method==“GET”, 只显示HTTP GET方法的。
   4.3.5 逻辑运算符为 AND/ OR
5. 5. 捕获结果分析
   5.1 着色规则
   在菜单“视图-着色规则”下查看
   

   

   
   5.2 数据包结构
   第一行：数据包整体概述，
   第二行：链路层详细信息，主要的是双方的mac地址
   第三行：网络层面的具体信息，核心内容涉及通信双方所使用的IP地址。
   第四行：传输层的关键信息，核心在于通信双方各自的端口号。。
   

   

   
   

   

   
   

   

   
   5.3 tcp数据包
   标志位对应的功能：
   URG： 紧急指针（ urgent pointer）有效。
   ACK： 确认序号有效。
   PSH： 接收端需要及时地将该数据段传递给上层应用程序。
   RST： 重建连接。
   SYN： 同步序号用来发起一个连接。
   FIN： 发端完成发送任务。
   窗口大小：用于流量控制。
   检验和：对整个TCP报文段，包括TCP首部和TCP数据部分，执行了检验，并且像UDP一样，在计算过程中需要使用伪首部。
   

   

   
   tcp数据包结构及在wireshark中的位置
   

   

6. 6. Tcp三次握手分析
   客户端->服务器：发送标识为SYN=1、随机产生的客户端序号seq（发送序号）
   服务器->客户端：发送标识为SYN=1、ACK=1、第一步产生的客户端序号seq+1（确认序号）、随机产生的服务端序号seq
   客户端->服务器：第一步产生的客户端序号seq+1（发送序号）、第二步产生的服务端序号seq+1（确认序号）、ACK=1
   

   

   
   三次数据包
   其中[SYN]意为SYN位为1（如果没有，则表示为0）。同理如果[]中有ACK，表示ACK位为1
   

   

   
   6.1 第一次握手数据包
   客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。 如下图
   

   

   
   6.2 第二次握手的数据包
   服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图
   

   

   
   6.3 第三次握手的数据包
   客户端在此次通信过程中，会再次发送一个确认包（ACK），其中SYN标志位被设置为0，表示不再需要建立连接的请求，而ACK标志位被设置为1，表示这是一个确认包。在发送确认包时，客户端会将服务器先前发送的ACK序号字段加1，然后将这个新的序号放在确认字段中发送给对方。此外，在数据段中，客户端还会放置一个ISN（初始化序列号）加1的值，以确保数据传输的连续性和正确性。具体操作过程如图所示。
   

   

   
   就这样通过了TCP三次握手，建立了连接

阅读原文：原文链接