Wireshark抓包理论加实操

题记

        其实说起wireshark有些丢人，我本科网络工程的，wireshark却不怎么会用，所以前来补课。以前学的是科来，wireshark基本处于听说过看过没有实操过的状况。下面内容是我看大神文章操作的，前半部分是理论，后面是实操。

简介

        wireshark是非常流行的网络封包分析工具，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。

        为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

        wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP，HTTPS 还是用Fiddler，其他协议比如TCP，UDP 就用wireshark。

1、抓包过程

开始界面

        wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

        点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。然后点击"Start"按钮，开始抓包。

        可以看到只有一个网卡在走流量。

Wireshark窗口介绍

2、WireShark 主要分为这几个界面

        1> Display Filter(显示过滤器)， 用于过滤

        2> Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表信息不同

        3> Packet Details Pane(封包详细信息), 显示封包中的字段

        4> Dissector Pane(16进制数据)

        5> Miscellanous(地址栏，杂项)

显示过滤器

        使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向，过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。过滤器有两种：一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录，一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。

封包列表(Packet List Pane）

        封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。 你可以看到不同的协议用了不同的颜色显示。你也可以修改这些显示颜色的规则， View ->Coloring Rules。

封包详细信息 (Packet Details Pane）

        这个面板是我们最重要的，用来查看协议中的每一个字段。各行信息分别为：

        Frame:物理层的数据帧概况；

        Ethernet II: 数据链路层以太网帧头部信息；

        Internet Protocol Version 4: 互联网层IP包头部信息；

        Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP；

        Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议；

        Wireshark与对应的OSI七层模型：

        TCP包的具体内容：

3、TCP三次握手过程

        这图我都看过很多遍了， 这次我们用wireshark实际分析下三次握手的过程。打开wireshark,，打开浏览器输入网址过滤后选中HTTP/1.1的记录，右键然后点击"Follow TCP Stream"，这样做的目的是为了得到与浏览器打开网站相关的数据包，将得到如下图：

实操分析

        其实在理论写完之前，我就已经抓完包了，网络基础会个差不多的话，这是相通的，看一眼就知道差不多了。也和我学过python有关系，当时学python其中的scapy模块把我折磨透了，这也是数据包相关的一个强大的工具。所以我一看ip.dst==210.44.176.42就是目标ip。

        首先我找到一个网站分析我的本机与他的交互过程，这个网站我选为http://210.44.176.42/biye/

        这是一个大学的毕业设计综合管理系统的登录页面，页面如下图。

        图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的， 这说明HTTP的确是使用TCP建立连接的。

        这时候在网站提交账号密码，可以看到post数据包。

参考链接

        Wireshark抓包详解：http://blog.csdn.net/hebbely/article/details/54136475?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.control