Wireshark 开始抓包示例

Wireshark 是一款免费开源的网络数据包分析工具，能捕获电脑或网络中的数据传输包，还能解析包内内容，比如源地址、目标地址、传输协议和具体数据。
不管是新手学网络原理，还是工程师排查网络卡顿、丢包等问题，都能用它。它支持 Windows、Mac 等系统，操作门槛可高可低，是网络领域超常用的工具。

通过抓包能查看包的来源、目的地、传输协议，甚至具体内容，既能帮排查网络卡顿、丢包问题，也能让新手直观学网络原理，是网络领域常用的基础手段。

   先介绍一个使用wireshark工具抓取ping命令操作的示例，让读者可以先上手操作感受一下抓包的具体过程。

  1、打开wireshark 2.6.5，主界面如下：

​

 2、选择菜单栏上Capture -> Option，勾选WLAN网卡（这里需要根据各自电脑网卡使用情况选择，简单的办法可以看使用的IP对应的网卡）。点击Start。启动抓包。

 3、wireshark启动后，wireshark处于抓包状态中。

4、执行需要抓包的操作，如在cmd窗口下执行ping www.baidu.com。

过滤出百度的IP地址查看

  5、操作完成后相关数据包就抓取到了。为避免其他无用的数据包影响分析，可以通过在过滤栏设置过滤条件进行数据包列表过滤，获取结果如下。说明：ip.addr == 110.242.68.66and icmp 表示只显示ICPM协议且源主机IP或者目的主机IP为110.242.68.66的数据包。说明：协议名称icmp要小写。

wireshark抓包完成，就这么简单。关于wireshark显示过滤条件、抓包过滤条件、以及如何查看数据包中的详细内容在后面介绍。

 说明：数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules。如下所示

WireShark 主要分为这几个界面
  1. Display Filter(显示过滤器)，  用于设置过滤条件进行数据包列表过滤。菜单路径：Analyze --> Display Filters。

  2. Packet List Pane(数据包列表)， 显示捕获到的数据包，每个数据包包含编号，时间戳，源地址，目标地址，协议，长度，以及数据包信息。 不同协议的数据包使用了不同的颜色区分显示。

 3. Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包，在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的，用来查看协议中的每一个字段。各行信息分别为
  （1）Frame:   物理层的数据帧概况
  （2）Ethernet II: 数据链路层以太网帧头部信息
  （3）Internet Protocol Version 4: 互联网层IP包头部信息
  （4）Transmission Control Protocol:  传输层T的数据段头部信息，此处是TCP
  （5）Hypertext Transfer Protocol:  应用层的信息，此处是HTTP协议

TCP包的具体内容

 从下图可以看到wireshark捕获到的TCP包中的每个字段。

看不懂没事可以粘贴给AI AI会解释清楚

wireshark过滤器表达式的规则
1、抓包过滤器语法和实例
   抓包过滤器类型Type（host、net、port）、方向Dir（src、dst）、协议Proto（ether、ip、tcp、udp、http、icmp、ftp等）、逻辑运算符（&& 与、|| 或、！非）
（1）协议过滤
  比较简单，直接在抓包过滤框中直接输入协议名即可。
  tcp，只显示TCP协议的数据包列表
  http，只查看HTTP协议的数据包列表
  icmp，只显示ICMP协议的数据包列表
（2）IP过滤
  host 192.168.1.104
  src host 192.168.1.104
  dst host 192.168.1.104
（3）端口过滤
  port 80
  src port 80
  dst port 80
（4）逻辑运算符&& 与、|| 或、！非
  src host 192.168.1.104 && dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包
  host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包
  ！broadcast 不抓取广播数据包
2、显示过滤器语法和实例
（1）比较操作符
  比较操作符有== 等于、！= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。
（2）协议过滤
  比较简单，直接在Filter框中直接输入协议名即可。注意：协议名称需要输入小写。
  tcp，只显示TCP协议的数据包列表
  http，只查看HTTP协议的数据包列表
  icmp，只显示ICMP协议的数据包列表

 加上！符号是取反

图上意思是除icmp以外其他都展示

（3） ip过滤
   ip.src ==192.168.180.1 显示源地址为192.168.180.1 的数据包列表
   ip.dst==39.156.66.10, 显示目标地址为39.156.66.10的数据包列表
   ip.addr == 39.156.66.10 显示源IP地址或目标IP地址为39.156.66.10的数据包列表

4）端口过滤
  tcp.port ==80,  显示源主机或者目的主机端口为80的数据包列表。
  tcp.srcport == 80,  只显示TCP协议的源主机端口为80的数据包列表。
  tcp.dstport == 80，只显示TCP协议的目的主机端口为80的数据包列表。

5） Http模式过滤
  http.request.method=="GET",   只显示HTTP GET方法的。

（6）逻辑运算符为 and/or/not

  过滤多个条件组合时，使用and/or。比如获取IP地址为192.168.180.1的ICMP数据包表达式为ip.addr == 192.168.180.1 and icmp

逻辑运算符&&与、|| 或、！非
src host 192.168.10.1 &&dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包
host 192.168.10.1 || host 192.168.10.2 抓取主机为192.168.10.1或者192.168.10.2的数据包
"  ！ broadcast  "不抓取广播数据包 2. 显示过滤器语法和实例
（1）比较操作符
比较操作符有
== 等于、！= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于

（7）按照数据包内容过滤。假设我要以IMCP层中的内容进行过滤，可以单击选中界面中的码流，在下方进行选中数据。如下

右键单击选中后出现如下界面

选中Select后在过滤器中显示如下

后面条件表达式就需要自己填写。如下我想过滤出data数据包中包含"abcd"内容的数据流。包含的关键词是contains 后面跟上内容。

Wireshark抓包分析TCP三次握手

（1）TCP三次握手连接建立过程

    Step1：客户端发送一个SYN=1，ACK=0标志的数据包给服务端，请求进行连接，这是第一次握手；

    Step2：服务端收到请求并且允许连接的话，就会发送一个SYN=1，ACK=1标志的数据包给发送端，告诉它，可以通讯了，并且让客户端发送一个确认数据包，这是第二次握手；

   Step3：服务端发送一个SYN=0，ACK=1的数据包给客户端端，告诉它连接已被确认，这就是第三次握手。TCP连接建立，开始通讯。

阅读原文：原文链接