wireshark使用方法

抓取報文:

點選介面名稱之後，就可以看到實時接收的報文。wireshark會捕捉系統傳送和接收的每乙個報文。如果抓取的介面是無線並且選項選取的是混合模式，那麼也會看到網路上其他報文。

上端面板每一行對應乙個網路報文，預設顯示報文接收時間（相對開始抓取的時間點），源和目標ip位址，使用協議和報文相關資訊。點選某一行可以在下面兩個視窗看到更多資訊。「+」圖示顯示報文裡面每一層的詳細資訊。底端視窗同時以十六進製制和ascii碼的方式列出報文內容。

需要停止抓取報文的時候，點選左上角的停止按鍵。

色彩標識:

進行到這裡已經看到報文以綠色，藍色，黑色顯示出來。wireshark通過顏色讓各種流量的報文一目了然。比如預設綠色是tcp報文，深藍色是dns，淺藍是udp，黑色標識出有問題的tcp報文——比如亂序報文。

報文樣本:

開啟乙個抓取檔案相當簡單，在主介面上點選open並瀏覽檔案即可。也可以在wireshark裡儲存自己的抓包檔案並稍後開啟。

過濾報文:

如果正在嘗試分析問題，比如打**的時候某一程式傳送的報文，可以關閉所有其他使用網路的應用來減少流量。但還是可能有大批報文需要篩選，這時要用到wireshark過濾器。

也可以點選analyze選單並選擇display filters來建立新的過濾條件。

另一件很有趣的事情是你可以右鍵報文並選擇follow tcp stream。

你會看到在伺服器和目標端之間的全部會話。

關閉視窗之後，你會發現過濾條件自動被引用了——wireshark顯示構成會話的報文。

檢查報文:

選中乙個報文之後，就可以深入挖掘它的內容了。

wireshark是乙個非常之強大的工具，第一節只介紹它的最基本用法。網路專家用它來debug網路協議實現細節，檢查安全問題，網路協議內部構件等等。